‏הצגת רשומות עם תוויות anti-rookitt. הצג את כל הרשומות
‏הצגת רשומות עם תוויות anti-rookitt. הצג את כל הרשומות

יום שישי, 30 בספטמבר 2016

מלחמה בזדונות מחשב ב'


זדונות המחשב הכי ערמומיות ומסוכנות הם אלה הנכנסים 'בדלת האחורית' (back door codes), ועוברים אינטגרציה עמוק בקבצי הסיסטם. רובם בלתי נראים באינדקס המחשב. רובם אינם מתגלים גם על ידי תוכנות האנטי- וירוס והאנטי-נוזקות המסחריות והקונבנציונליות. חלקם הם וירוסים קטלניים הפוגעים בפעילות המחשב ואפילו יכולים להפיל אותו באופן שאפילו שחזור המערכת למקור (פורמט) קשה לביצוע, כאשר המחשב קורס לבסוף (יוקדש פוסט מיוחד בנושא זה ומה אפשר לעשות במקרה זה כדי להציל את המחשב). 
חלק מהזדונות מושתלים באופן שקט מבלי להשאיר עקבות ומשמשים כסוסים טרויאנים (TROJANS) שיופעלו בבוא העת כפי שתוכנתו בקוד הזדוני שלהם. 

כאמור גם תוכנות האנטי- וירוס המסחריות החזקות ביותר אינן מגלות מרבית הזדונות מסוג זה, כי כותבי הקודים הזדוניים בודקים את הקודים שלהם ומוודאים שאינם מתגלים על ידי תוכנות האבטחה המסחריות. וגם הקודים הזדוניים שמתגלים, רובם אינם ניתנים להסרה על ידי תוכנות האבטחה.

אני משתמש באוסף (ערכה אישית) של תוכנות גילוי והסרה רבות עצמה. חלק מהן הן חינמיות ומצוינות! חלק מסחריות ומצוינות גם הן (כל אחת חזקה כנגד מגוון קודים זדוניים שנכתבים על ידי האקרים). בבלוג זה (שאינו עוסק בהמלצות ופרסומות של מוצרים מסחריים), אביא במשך כמה פוסטים את התוכנות החינמיות שביחד נותנים הן הגנה מצוינת והן יכולת לסלק את מרבית הזדונות שנטמעו במערכת ההפעלה. 

האקרים כותבים קודים זדוניים שנותנים הרשאות גבוהות (הרשאות מתקין מורשה - TRUSTED מזויפות) כדי להערים על מערכות האבטחה. 

השיטות שמשתמשים האקרים בכתיבת הקודים הזדוניים:

א. זיופים חתומים דיגיטלית (על ידי ההאקר אבל לא על ידי מיקרוסופט). המחליפים מרכיבי מערכת חוקיים ומתחילים לבצע פעולות לא חוקיות.
ב. החלפת מרכיבי מערכת במרכיבי מערכת מקוריים שההאקרים מכניסים רווחים בטקסט של הקודים, שמצד אחד פוגעים בתפקוד הרכיבים 'המטופלים' ומצד שני מטעים את מערכות האבטחה 'לחשוב' שמדובר במרכיבי מערכת לגיטימיים.
ג. מעבירים רכיבי מחשב לגיטימיים לתוך מקומות שאינם אמורים להימצא במערכת ההפעלה. 
ד. קודים זדוניים אחרים שהם מזיקים ולא 'נראים'.

כאמור שילוב של התוכנות החינמיות שאביא כאן בסדרת פוסטים, מגלה ומסלק לפחות 99% מהקודים הזדוניים האלה. האחרים מתגלים על ידי ערכת התוכנות  (החינמיות + המסחריות)שהרכבתי  ב- 99.9%.  
0.1% הנותרים ניתנים לגילוי ולכאורה בלתי ניתנים להסרה ללא פירמוט המחשב.
אביא כאן פוסט שיעסוק בכך ובדרכים פשוטות לעמך ובטריקים להסיר גם אותם.

כמובן, כאמור לא אביא כאן המלצות לתוכנות המסחריות, אלא החינמיות בלבד.  לא אביא כאן גם חלק מהשפנים הנוספים שאני שומר בכובע (מחשש לאתגר נקמת האקרים...). אבל מי מהקוראים שיתקל בבעיה בלתי פתירה בסילוק זדונות (בסיום סידרת פוסטים אלה), יתכן שאוכל לעזור לו/ה בפניה למייל:
kankanhate@gmail.com בזהות מאומתת!

התוכנה החינמית שאמליץ כאן היום היא TDSS של חברת קספרסקי. יש להם אוסף של אנטי- זדונות ספציפיים ובו TDSS, שהוא אנטי-רוטקיט עצמתי כללי.

את התוכנה הזו, להורדה ישירה (בלי להשאיר כתובת מייל)
מורידים כאן.

בקישור יפתח המסך הבא, שרלוונטית לנו כרגע רק ראש הרשימה:





בשורה השנייה TDSS killer יש ללחוץ על הכפתור הימני (הירוק). תפתח התיבה הבאה לאישור הסכמה:



 יש לסמן בכפתור ACCEPT למטה ותפתח תבנית אישור שניה:




יש לסמן שוב בכפתור ה- ACCEPT והתוכנה תתחיל להטען (יש להיות מחוברים לאינטרנט כדי שיותקן עדכון בסיס הנתונים):



לאחר זמן קצר תפתח התבנית הבאה:




כעת נא ללחוץ על הקישור 'Change parameters' ויפתחו אפשרויות הסימון הבאות:



יש לסמן את המשבצת 'Loaded modules' ותתקבל ההודעה שנדרש איתחול המחשב. יש לאשר בכפתור 'Reboot now':




לאחר אתחול תתקבל שוב התבנית הזו:



יש ללחוץ שוב על הקישור 'Change parameters' ולסמן גם את שתי המשבצות הריקות מתחת ל- Additional options: 




כעת תפתח המסגרת הבאה (Ready to scan):



ויש ללחוץ על הכפתור 'Start scan' למטה. הסריקה תתחיל כפי שנראה במסך הבא:




במסך הבא אפשר לראות שהסריקה כבר גילתה 5 איומי זדונות:



בסיום הסריקה יפתח המסך הבא:


כפי שניתן לראות התגלו 5 קודים לא רצויים. 
כעת קיימות 3 אפשרויות בחירה לטיפול בכל אחד מהאיומים ברשימה:
ignore (במקרה ומדובר לדעתך בתוכנה לגיטימית ידועה).
copy to quarantine
או
delete

למי שאיננו מומחה ממליץ לסמן copy to quarantine. כלומר, שליחת האיומים לבידוד (המאפשר שיחזור במידה ויש צורך לבטל מאחר כך את הפעולה - סיכוי מזערי ביותר). לאחר מספר ימים של הפעלה כשרואים שהכול תקין, ניתן לעשות DELET. 

יש לסמן בכפתור המשך למטה:




בסיום ניקוי הזדונות יפתח המסך המסכם הבא:




בסריקה ראשונה עשויים להתגלות יותר זדונות הדורשים הסרה.

לאחר הניקוי, יש לאתחל את המחשב ולחזור שנית על כל שלבי הסריקה למעלה, כדי לוודא הרחקה של כל הזדונות.

והרי לך כלי רב עצמה לטיפול בזדונות קשים לגילוי והסרה.

בהצלחה!

אשמח לקבל תגובות כמה זדונות התגלו והאם סולקו (כדי לאמת זאת, יש לחזור על הפרוטוקול פעם שנייה) .אם קיימת בעיה או שאלה כלשהי ניתן לשאול בתגובה.

* כל הקישורים והתוכנות בפוסט זה נסרקו על ידי נורטון כבטוחים לשימוש.