‏הצגת רשומות עם תוויות זדונות דלת אחורית. הצג את כל הרשומות
‏הצגת רשומות עם תוויות זדונות דלת אחורית. הצג את כל הרשומות

יום רביעי, 2 בנובמבר 2016

מלחמה בזדונות מחשב ד'


עוד תכנה חינמית חזקה לגילוי וירוסים וזדונות עקשניים של ROOTKIT.
שם התכנה (Norton Power Eraser (NPE.
מורידים אותה כאן (ההורדה מקישור זה בטוחה).

לאחר ההורדה וההתקנה יפתח המסך הבא:




















מקישים על כפתור Accept ויפתח המסך הבא:


















כעת יש להקיש על הכפתור הגדול Scan for Risks ונקבל את ההודעה הבאה:





תת 
יש להקיש על כפתור Restart לאתחול המחשב. לאחר האתחול יש להמתין מעט ויפתח אוטומטית המסך הבא, שמודיע על ביצוע סריקה:





צ 
יש להמתין בסבלנות עד לסיום הסריקה. אם הכל תקין יתקבל המסך הבא:




ב 
בפעם הראשונה שהרצתי את התכנה, מתוך חשד שדברים אינם כשורה (אנומליה) במחשב, הסריקה התריעה על שני איומי ROOT KIT.

האיום הראשון בשם  .AgileVPN.exe ו/או הווריאציה AgileVPN.sys - איום טרויאני מסוכן המאפשר הטמנת חבילת זדונות נוספים וגישה של האקרים למחשב. זוהי גם תולעת שהאקרים עצמם מזריקים למחשב הקורבן כדי להמשיך בהשתלטות על המחשב ולעקוף כניסה דרך הראוטר שלו. יש להאקרים גם שיטות נוספות, אך על כך ברשומה נפרדת. 

האיום השני הוא וריאציה של פונקציה פרימיטיבית לא נחוצה של WINDOWS מההיסטוריה של מיקרוסופט המנוצלת על ידי האקרים. 
מדובר באיום בשם poq.exe או בווריאציה poqexc.sys. כלומר, איום שמתחיל לעבוד אוטומטית עם אתחול המחשב.

את שני האיומים האלה תכנת NPE  (כמו חלק מאחרות) גילתה אבל לא הצליחה להסיר את האיומים העקשניים אלה. אבל בעזרת הגילוי ניתן לאתר היכן הן ממוקמות במערכת ההפעלה של המחשב. ניתן למצאם בדירקטורי בדרך כלל ב:
Windows>System32 או ב:

Windows>System32>Drivers

את הזדונות האלה לא ניתן להסיר ידנית אל פח האשפה משום שהם מוגנים על ידי הרשאה של TRUSTED INSTALLER ולכן לא מאפשר לך כאדמיניסטרטור למחוק. אבל יש דרך להסיר אותם, או כל איום אחר שמתגלה ולא ניתן להסרה על ידי תכנת הגילוי.
לא אפרסם כאן את אופן ההסרה, כדי לא לחמש האקרים בהמצאה וכתיבת קודים זדוניים חדשים שימנעו גם את זה.

לפיכך, מי שיתקל בקוד זדוני כזה שמתגלה על ידי תכנות אנטי-וירוס או אנטי- רוטקיט, ושלא ניתן להסיר מהמחשב, שיפנה אלי בדואר לכתובת
kankanhate@walla.il.

לשולחים אלי בקשה יחד עם תיאור הבעיה, עם כתובת מאומתת בלבד - אשלח במייל חוזר הוראות להסרה מוחלטת של הקודים הזדוניים האלה.

אז כרגע חימשתי אתכם בארבע תכנות חינמיות להסרת וירוסים וזדונות מחשב אחרים עקשניים, שאינם מתגלים על ידי תכנות האנטי-וירוס המסחריות.
כדי לגלות מקסימום קודים זדוניים שמסתתרים היטב במחשב יש לבצע סריקות בכל ארבעת התכנות החינמיות שהבאתי בבלוג, על פי הסדר:
תכנה 1
תכנה 2
תכנה 3
והתכנה הזו שמתוארת בפוסט זה למעלה. 

בצעו סריקה וניקיון המחשב מזדונות עם כל ארבעת התכנות החינמיות האלה מיד! לפני שיהיה מאוחר. גם אם אינכם מרגישים שמשהו אינו תקין במחשב. קיימים זדונות רבים המכונים 'סוסים טרויאנים' אשר יושבים במחשב ו'ביום פקודה' מתעוררים לתחייה ופוגעים קשות בפעולת המחשב, מחייגים לגורמים לא רצויים ועוד דברים שאינכם רוצים לדעת. 

אם כלו כל הקיצין, והמחשב שלכם נגוע באופן קשה מאוד - יש עוד כמה דברים שניתן לעשות כדי לעקור את זדונות ה-ROOT KIT  היותר ערמומיים והעקשנים מהשורש, לפני שאתם נאלצים לפרמט את המחשב. על כך ברשומה נפרדת.

ברשומות עתידיות נלמד גם לטפל בנזקים והשחתות שכבר נגרמו לפונקציות קריטיות חשובות במחשב שלכם כתוצאה מהדבקה וירוסים וזדונות אחרים. הנזקים נותרים גם לאחר סילוקם של אלה. נלמד על מספר דרכים לתיקון הנזקים.

בפינה זו 'מחשבים ואינטרנט' בבלוג, התפרסמו גם רשומות על דרכי הגנת  המחשב שלכם מפני האקרים ומפני הזרקת חבילות זדונות למחשב שלכם. דרכים נוספות יפורסמו ברשומות עתידיות. זה לא ימנע מהאקר אובססיבי ביותר לפרוץ גם הגנות אלו, אבל זה יגרום לו להרבה מאוד כאבי ראש ולסבירות גבוהה שלא יהיה לו שווה לבזבז זמן רב לפריצה אל מחשב מוגן ולכן יחפש קורבנות אחרים.

זכרו - אתם לא חייבים להיות מהמוסד כדי שיפרצו למחשב שלכם - כל מחשב עם הגנה חלשה הוא בגדר הפירצה קוראת לגנב. החשבונות שלכם, הססמאות כולל אלו לדואר האלקטרוני ולרכישות, אנשי הקשר ועוד מידע נוסף שווה להאקרים זהב, בנוסף לסיפוק חולני של פגיעה בפרטיותכם.

אשמח לקבל תגובות על מידת התרומה של סדרת רשומות אלה עבורכם. האם פינה זו לתועלת עבורכם? 

כמובן כדאי להירשם כמנוי לבלוג, לקבלת עדכונים במייל לפוסטים חדשים מסוג זה בעתיד.

יום שישי, 30 בספטמבר 2016

מלחמה בזדונות מחשב ב'


זדונות המחשב הכי ערמומיות ומסוכנות הם אלה הנכנסים 'בדלת האחורית' (back door codes), ועוברים אינטגרציה עמוק בקבצי הסיסטם. רובם בלתי נראים באינדקס המחשב. רובם אינם מתגלים גם על ידי תוכנות האנטי- וירוס והאנטי-נוזקות המסחריות והקונבנציונליות. חלקם הם וירוסים קטלניים הפוגעים בפעילות המחשב ואפילו יכולים להפיל אותו באופן שאפילו שחזור המערכת למקור (פורמט) קשה לביצוע, כאשר המחשב קורס לבסוף (יוקדש פוסט מיוחד בנושא זה ומה אפשר לעשות במקרה זה כדי להציל את המחשב). 
חלק מהזדונות מושתלים באופן שקט מבלי להשאיר עקבות ומשמשים כסוסים טרויאנים (TROJANS) שיופעלו בבוא העת כפי שתוכנתו בקוד הזדוני שלהם. 

כאמור גם תוכנות האנטי- וירוס המסחריות החזקות ביותר אינן מגלות מרבית הזדונות מסוג זה, כי כותבי הקודים הזדוניים בודקים את הקודים שלהם ומוודאים שאינם מתגלים על ידי תוכנות האבטחה המסחריות. וגם הקודים הזדוניים שמתגלים, רובם אינם ניתנים להסרה על ידי תוכנות האבטחה.

אני משתמש באוסף (ערכה אישית) של תוכנות גילוי והסרה רבות עצמה. חלק מהן הן חינמיות ומצוינות! חלק מסחריות ומצוינות גם הן (כל אחת חזקה כנגד מגוון קודים זדוניים שנכתבים על ידי האקרים). בבלוג זה (שאינו עוסק בהמלצות ופרסומות של מוצרים מסחריים), אביא במשך כמה פוסטים את התוכנות החינמיות שביחד נותנים הן הגנה מצוינת והן יכולת לסלק את מרבית הזדונות שנטמעו במערכת ההפעלה. 

האקרים כותבים קודים זדוניים שנותנים הרשאות גבוהות (הרשאות מתקין מורשה - TRUSTED מזויפות) כדי להערים על מערכות האבטחה. 

השיטות שמשתמשים האקרים בכתיבת הקודים הזדוניים:

א. זיופים חתומים דיגיטלית (על ידי ההאקר אבל לא על ידי מיקרוסופט). המחליפים מרכיבי מערכת חוקיים ומתחילים לבצע פעולות לא חוקיות.
ב. החלפת מרכיבי מערכת במרכיבי מערכת מקוריים שההאקרים מכניסים רווחים בטקסט של הקודים, שמצד אחד פוגעים בתפקוד הרכיבים 'המטופלים' ומצד שני מטעים את מערכות האבטחה 'לחשוב' שמדובר במרכיבי מערכת לגיטימיים.
ג. מעבירים רכיבי מחשב לגיטימיים לתוך מקומות שאינם אמורים להימצא במערכת ההפעלה. 
ד. קודים זדוניים אחרים שהם מזיקים ולא 'נראים'.

כאמור שילוב של התוכנות החינמיות שאביא כאן בסדרת פוסטים, מגלה ומסלק לפחות 99% מהקודים הזדוניים האלה. האחרים מתגלים על ידי ערכת התוכנות  (החינמיות + המסחריות)שהרכבתי  ב- 99.9%.  
0.1% הנותרים ניתנים לגילוי ולכאורה בלתי ניתנים להסרה ללא פירמוט המחשב.
אביא כאן פוסט שיעסוק בכך ובדרכים פשוטות לעמך ובטריקים להסיר גם אותם.

כמובן, כאמור לא אביא כאן המלצות לתוכנות המסחריות, אלא החינמיות בלבד.  לא אביא כאן גם חלק מהשפנים הנוספים שאני שומר בכובע (מחשש לאתגר נקמת האקרים...). אבל מי מהקוראים שיתקל בבעיה בלתי פתירה בסילוק זדונות (בסיום סידרת פוסטים אלה), יתכן שאוכל לעזור לו/ה בפניה למייל:
kankanhate@gmail.com בזהות מאומתת!

התוכנה החינמית שאמליץ כאן היום היא TDSS של חברת קספרסקי. יש להם אוסף של אנטי- זדונות ספציפיים ובו TDSS, שהוא אנטי-רוטקיט עצמתי כללי.

את התוכנה הזו, להורדה ישירה (בלי להשאיר כתובת מייל)
מורידים כאן.

בקישור יפתח המסך הבא, שרלוונטית לנו כרגע רק ראש הרשימה:





בשורה השנייה TDSS killer יש ללחוץ על הכפתור הימני (הירוק). תפתח התיבה הבאה לאישור הסכמה:



 יש לסמן בכפתור ACCEPT למטה ותפתח תבנית אישור שניה:




יש לסמן שוב בכפתור ה- ACCEPT והתוכנה תתחיל להטען (יש להיות מחוברים לאינטרנט כדי שיותקן עדכון בסיס הנתונים):



לאחר זמן קצר תפתח התבנית הבאה:




כעת נא ללחוץ על הקישור 'Change parameters' ויפתחו אפשרויות הסימון הבאות:



יש לסמן את המשבצת 'Loaded modules' ותתקבל ההודעה שנדרש איתחול המחשב. יש לאשר בכפתור 'Reboot now':




לאחר אתחול תתקבל שוב התבנית הזו:



יש ללחוץ שוב על הקישור 'Change parameters' ולסמן גם את שתי המשבצות הריקות מתחת ל- Additional options: 




כעת תפתח המסגרת הבאה (Ready to scan):



ויש ללחוץ על הכפתור 'Start scan' למטה. הסריקה תתחיל כפי שנראה במסך הבא:




במסך הבא אפשר לראות שהסריקה כבר גילתה 5 איומי זדונות:



בסיום הסריקה יפתח המסך הבא:


כפי שניתן לראות התגלו 5 קודים לא רצויים. 
כעת קיימות 3 אפשרויות בחירה לטיפול בכל אחד מהאיומים ברשימה:
ignore (במקרה ומדובר לדעתך בתוכנה לגיטימית ידועה).
copy to quarantine
או
delete

למי שאיננו מומחה ממליץ לסמן copy to quarantine. כלומר, שליחת האיומים לבידוד (המאפשר שיחזור במידה ויש צורך לבטל מאחר כך את הפעולה - סיכוי מזערי ביותר). לאחר מספר ימים של הפעלה כשרואים שהכול תקין, ניתן לעשות DELET. 

יש לסמן בכפתור המשך למטה:




בסיום ניקוי הזדונות יפתח המסך המסכם הבא:




בסריקה ראשונה עשויים להתגלות יותר זדונות הדורשים הסרה.

לאחר הניקוי, יש לאתחל את המחשב ולחזור שנית על כל שלבי הסריקה למעלה, כדי לוודא הרחקה של כל הזדונות.

והרי לך כלי רב עצמה לטיפול בזדונות קשים לגילוי והסרה.

בהצלחה!

אשמח לקבל תגובות כמה זדונות התגלו והאם סולקו (כדי לאמת זאת, יש לחזור על הפרוטוקול פעם שנייה) .אם קיימת בעיה או שאלה כלשהי ניתן לשאול בתגובה.

* כל הקישורים והתוכנות בפוסט זה נסרקו על ידי נורטון כבטוחים לשימוש.