Pc-Xp.net

Již delší dobu máte vyhlídnutou jakousi osobu, která Vás nějak poškodila, ale stále nevíte jak jí to oplatit. V tom případě mám pro Vás řešení. Už Vám to dochází? Správně, jedná se o vir. Je to jednoduché vir si nastavíte podle svých představ, resp. podle svého vlastního uvážení, které se bude odvíjet od toho jako moc se chcete pomstít. Po otevření virového generátoru se Vás zeptá prográmek na pár věcí, lépe řečeno se Vás zeptá na to, jaké bláznoviny se mají dít po spuštění viru danou (poškozenou) osobou. Na výběr budete mít z docela dosti možností, není jich moc, ale na pomstu to stačit bude. Že se Vám to zamlouvá? Pak tedy není problém si generátor přímo zde stáhnout. Jen bych ale ještě měl pár připomínek. Ten generátor co otevíráte není škodlivý, je to jen jakýsi průvodce. Ovšem po skončení prohlídky generátoru se Vám v archivu vytvoří soubor vir.cmd, nebo vir.exe. Záleží jen na Vás jak si to uložíte. Tento soubor už v žádném případě neotevírejte ale raději jej pošlete osobě, které se mstíte. Máte k tomu přibalený i návod, tudíž si myslím, že není co řešit. A hlavně pc-xp.net nezodpovídá za škody způsobené špatnou manipulací, či za poškození osoby třetí strany.

KillBox je aplikace, která „sestřelí“ snad jakoukoliv libovolnou běžící aplikaci (tj. nejčastěji nějaký běžící EXE proces). Hodí se při likvidaci škodlivých aplikací (alternativa k The Avenger aplikaci). Kromě toho, že je odstraní i z paměti, spolehlivě je i vymaže z pevného disku. Pozor! Nevhodnou manipulací lze „sestřelit“ i samotný operační systém Windows!

The Avenger je alternativou k aplikaci KillBox . V některých případech může dokázat to, co Killbox nezvládne, popřípadě naopak.

The Avenger funguje tak, že na základě speciálního souboru (skriptu) provede činnosti, které jsou v něm popsány. Jde především o mazání jinak nesmazatelných souborů, odstraňování nebezpečných záznamů z registrů atd. Tuto činnost provádí The Avenger v momentě, kdy bude havěť jen stěží aktivní (během startu Windows).

Použití

Je několik postupů, jak The Avenger využívat, zde stačí zmínit ten nejednoduší:

Stáhněte The Avenger odsud a spusťte ho. Případné úvodní hlášení potvrďte. V hlavním dialogu je potřeba zvolit „Input script manually“ a dále stisknout tlačítko s lupou. Otevře se editor, do kterého se již vkládají samotné „rozkazy“ . Rozkazy se uvedou do chodu stisknutím tlačítka se semaforem. Program se ještě zeptá, zda to myslíme vážně a následně nabídne okamžitý restart celého systému (doporučeno).

Detailnější informace o tvorbě skriptů

Pokud chceme například smazat soubory, je potřeba vepsat něco na způsob následujícího (text „Files to delete:“ je nutností ? značí činnost):

Files to delete:
c:windowssystem32uj1.dll
%windir%system32uj2.dll
%systemdrive%
eco.ext

Mazat celé adresáře lze takto:

Folders to Delete:
C:adresar

Hodnotu z registrů lze smazat takto:

Registry values to delete:
HKEY_USERS.defaultklic | nazev_hodnoty

HKEY_LOCAL_MACHINESOFTWARE{vse jeden radek}
MicrosoftWindows NT
CurrentVersionWindows | AppInit_DLLs

Celý klíč registrů lze odmazat takto:

Registry keys to delete:
hklmsoftware otopryc
hkey_local_machinesystemcurrentcontrolsetklickesmazani

Příkazy lze samozřejmě kombinovat v rámci stejného skriptu:

Files to delete:
c:windowssystem32uj1.dll
Folders to Delete:
C:adresar
Registry values to delete:
HKEY_USERS.defaultklic | nazev_hodnoty

Pokud se nacházejí v cestách k souborům / klíčům mezery, je doporučeno celý takový řádek umístit mezi znaky “ „.

Seznam veškerých příkazů a další podrobnosti se nacházejí na těchto stránkách:
http://swandog46.geekstogo.com/avengernotes.htm

Pozor! Nevhodnou manipulací lze „sestřelit“ i samotný operační systém Windows!

S jakou havětí se může uživatel setkat?

Rozdělení havěti je v dnešní době opravdu komplikované. Možná, že následující dělení je momentálně nejrozumnější, resp. nejrozumnější pro kapitolu likvidace. Lze tedy říci, že existuje havěť, kterou odstraníme:

• smazáním infikovaného souboru,
• vyléčením infikovaného souboru.

Pokud budeme slovíčkařit, pak nelze pravděpodobně v prvním případě zcela otevřeně hovořit o „infikovaném souboru X“ ve smyslu „napadený soubor X“. V tomto případě totiž platí, že soubor X = havěť. Tj. že celý soubor X je dílem havěti a že nikdy předtím nevykonával nic užitečného a nepatřil žádné aplikaci, která se již v minulosti nacházela na PC uživatele. Havěť ho prostě přitáhla s sebou.

Co je virus a jak se liší od trojských koní asi nemá smysl rozebírat , protože to není pro tento článek důležité.

Následuje tedy praktický přehled slov, popř. slovních spojení, která se mohou vyskytnout při ohlášení infekce antivirovým systémem a odpovídají výše uvedenému dělení:

• virus - tato havěť infikuje nejčastěji existující – spustitelné soubory na pevném disku. To se děje tak, že se k nim „tělo viru“ připojí (obvykle na jejich konec) a při spuštění infikovaného souboru dojde nejprve k aktivaci viru (ten vykoná další činnost) a následně je činnost předána původnímu programu. Původní program v infikovaném souboru tak není poškozen a lze ho vyléčit, tj. „vykousnout“ tělo viru a vrátit soubor do původního stavu před infekcí. Je však potřeba připomenout, že ve většině případů nemusí být vyléčený soubor zcela identificky se stavem před jeho infekcí. Některé programy (typicky Total Commander) provádějí vlastní kontrolu a jakoukoliv změnu mohou ohlašovat jako chybu i když to nemá žádný vliv na funkčnost. Pokud se tedy nabízí možnost obnovit infikované soubory ze zálohy, jde určitě o lepší variantu ne? používat vyléčenou podobu souborů.

• Následující havěť má jedno společné: léčení = smazání „infikovaného“ souboru.
  • trojan - obecný pojem. V minulosti se takto označovaly škodlivé programy, které se vydávaly za jiný – neškodný.
  • backdoor - škodlivý kód, který umožňuje převzít vzdáleně (např. přes Internet) kontrolu nad takto infikovaným PC.
  • downloader - škodlivý kód, který z Internetu stahuje daší havěť.
  • dropper - škodlivý kód, který ve svých „útrobách“ přenáší další škodlivou havěť a tuto po spuštění vypouští do PC.
  • worm, červ - každý tímto pojmem označuje něco jiné. V dnešní době se obvykle pojmem „červ“ označuje havěť, která se šíří ve formě síťových paketů (jako slavný červ Lovsan/Blaster).
  • adware - aplikace, která má obvykle za následek to, že vyskakují reklamní okna během práce i surfování a nervy uživatele tak dostávají na frak.
  • spyware - špionážní software. Může odcizovat data z PC uživatele. Většinou se na něj váže další havěť.
  • dialer - aplikace, která se postará o to, že připojení k Internetu se v případě vytáčeného dial-up připojení několikanásobně prodraží. Je to dáno tím, že modem se připojuje přes tzv. „žluté linky“, které jsou telefonními operátory draze účtovány (např. 60 Kč / 1 minuta), popř. jde o čísla, patřící někomu na druhé straně zeměkoule. Známe z televize – kauza Český Telecom vs nadávající zákazníci („z ničeho nic mi od ČT přišla faktura na 30 tisíc Kč“).

Jak na havěť

Kdy soubor smazat a kdy léčit již víme. Nevíme ale, kdy je k tomu nejlepší příležitost. Tím je nouzový režim Windows:

Během startu PC, jakmile se zobrazí velká tabulka s údaji o PC (procesor, paměť, disky…), stiskněte klávesu F8 (můžete i několikrát). Z nabídky, která se zobrazí, vyberte volbu „Nouzový režim Windows“, popř. „Stav nouze“. V tomto režimu budou zavedeny do paměti jen základní části Windows, takže je pravděpodobné, že havěť bude v tomto režimu „mrtvá“ a nebude nijak komplikovat proces léčení – mazání.

Existenci nouzového režimu si v poslední době uvědomuje i samotná havěť. Některé exempláře havěti tak během infekce počítače provedou takovou změnu ve Windows, která vede k nemožnosti spustit nouzový režim!

Nejčastější problémy

Havěť se stále po restartu odněkud vrací:

• Pokud je PC ve firemní síti (LAN), zkontrolujte, zda síťově nesdílíte celý pevný disk, popřípadě systémové adresáře (celý adresář Documents and Settings, Windows…). Taková síťová sdílení zakažte. Některá havěť se dokáže šířit z jiných infikovaných PC právě přes tato sdílení.
• Zároveň je vhodné zkontrolovat, zda uživatel „Administrator“ má nastaveno heslo a pokud nemá, nastavit ho. Ideálně nějaké rozumné a nikoliv „profláknuté“ jako „abc“ nebo „123″. Tato a další hesla totiž znají i některé potvory. “ Vypněte funkci Obnova systému (viz. níže). Odtud může systém automaticky obnovovat soubory – bohužel i v infikované podobě.
• V počítači se může nacházet další infikovaný objekt (nejčastěji soubor), který antivirus nedokáže detekovat a právě tento vrací známou část infekce (např. opakovaným stahováním z Internetu).

Infikovaný soubor nelze odstranit:

• Infikovaný soubor je v archivu RAR, ZIP, CAB… – vnořený objekt
  Řada antivirů nedokáže léčit/mazat soubory v archivech). Infikovaný soubor v archivu je nutno ručně odmazat pomocí archivačního programu (WinRAR, WinZIP apod.), popřípadě smazat celý archiv. Typickým případem je havěť v adresáři Internet Temporary Files. Zrovna v tomto případě ji lze vypudit zapnutím Internet Exploreru a volbou „ Odstranit soubory “ v menu Nástroje / Možnosti Internetu.
• Infikovaný soubor je „v držení“ viru
  V tomto případě doporučuji zkusit nastartovat Windows v tzv. nouzovém režimu Windows. Během startu PC, jakmile se zobrazí velká tabulka s údaji o PC (procesor, paměť, disky…), stiskněte klávesu F8 (můžete i několikrát). Z nabídky, která se zobrazí, vyberte volbu „Nouzový režim Windows“, popř. „Stav nouze“. Z tohoto režimu opět spusťte antivirovou kontrolu pevného disku a infikované soubory dle potřeby odmažte / dejte vyléčit. Pod systémy NT (Win NT4, 2000, XP, 2003) lze eventuálně zkusit daný proces havěti „odstřelit“ pomocí kláves CTRL-ALT-DEL v záložce Procesy. Pokud si pamatujete cestu k infikovanému souboru, můžete ho odstranit i ručně – např. přes ikonu TENTO POČITAČ (nezapomeňte v menu Nástroje / Možnosti Složky / záložka Zobrazení povolit zobrazení skrytých adresářů a souborů). Pokud nelze soubor smazat ani v nouzovém režimu, pak lze zkusit soubor nejprve přejmenovat a následně ho smazat (např. SOUBOR.DLL na SOUBOR.OLD). K tomu lze použít například „Průzkumníka“, popř. správce souborů jako Total Commander nebo Servant Salamander (nezapomenout opět povolit zobrazení skrytých souborů / adresářů). Alternativním řešením je nabídka START / Spustit a aplikace následujících příkazů:
  attrib -H -R C:cesta_k_infikovanému_souborsoubor.exe A následně: ren C:cesta_k_infikovanému_souborusoubor.exe soubor.old Později je vhodné soubor.old vymazat.
• Infikovaný soubor je v adresáři System Volume Information nebo _RESTORE
  Vypněte funkci Obnova systému. Jakmile bude vypnuta, nebude již infekce z tohoto adresáře hlášena.
  Postup pro Windows ME:
  • Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER) a zvolte z nabídky VLASTNOSTI (PROPERTIES).
  • Přepněte se do záložky VÝKON (PERFORMANCE) a stiskněte tlačítko SOUBOROVÝ SYSTÉM (FILE SYSTEM).
  • Zde se přesuňte na záložku PŘI POTÍŽÍCH (TROUBLESHOOTING) a zaškrtněte poslední volbu – ZAKÁZAT OBNOVU SYSTÉMU (DISABLE SYSTEM RESTORE).
  • Vše potvrďte tlačítkem OK, Windows se restartuje.

  Postup pro Windows XP:

  • Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte záložku OBNOVENÍ SYSTÉMU (SYSTEM RESTORE).
  • Zatrhněte volbu VYPNOUT NÁSTROJ OBNOVENÍ SYSTÉMU NA VŠECH JEDNOTKÁCH.
  • Potvrďte, Windows provede restart.
• Přesto všechno je problém infikovaný soubor odstranit

Prevence je v dnešní době bohužel pojmem, kterému se příliš uživatelů PC nevěnuje, popř. věnuje jen částečně. Je důležité si uvědomit, že pouze nainstalovaný antivirový program (v lepším případě i pravidelně aktualizovaný a správně nastavený) je sám o sobě nedostatečnou prevencí. Příliš nepomůže ani osobní firewall (obzvlášťě pokud uživatel nepozná, co je legální a co ilegální síťová komunikace), popřípadě software pro odstraňování „špionů“ a havěti, která uživatele otravuje vyskakující reklamou na ploše Windows či během surfování po Internetu.

Proč je výše uvedené nedostatečnou prevencí? Jde totiž pouze o „hloupé“ programy a „smysl života“ jim dává až UŽVATEL a ten je právě kamenem úrazu :-) Většina uživatelů se na výše uvedené programy plně spoléhá a nechává celou tíhu osudu na nich. Ve většině případů vede tento přístup k tomu, že dříve nebo později je PC takového uživatele totálně „prošpikováno“ havětí.

Je tedy nutné, aby UŽIVATEL nebyl pouze uživatelem, ale POUČENÝM UŽIVATELEM. K tomu snad dopomůžou právě tyto stránky.

Co by měl uživatel vědět?

Aby nebyl uživatel pouze UŽIVATELEM, ale POUČENÝM UŽIVATELEM, měl by vědet následující:

• Antivirový systém by měl být nedílnou součástí každého PC. Zároveň je potřeba zajistit:
  • pravidelnou – AUTOMATICKOU aktualizaci antiviru. Vzhledem k rychlosti šíření dnešní havěti (především prostřednictvím elektronické pošty) není aktualizace 2x za hodinu žádným luxusem. Obecně platí, že čím častěji se bude antivirový systém pokoušet o stažení aktualizace, tím lépe.
  • minimálně chod modulu, starající se o nepřetržitou kontrolu souborů, se kterými uživatel nebo aplikace manipuluje (které otevírá / ukládá / spouští apod.). Takové moduly se většinou označují pojmy jako „rezidentní štít“ či odborně „on-access skener“. Je nutné si uvědomit, že tento modul je nejdůležitější součástí každého moderního antivirového systému. Ve většině případů je sice nabízen i modul, který kontroluje přímo stahovanou či odesílanou poštu, ale i tento lze v nouzi ošelet, jelikož tak jako tak by případné infekci zabránil on-access skener (až na některé výjimky způsobené zneužitím chyby v programu). Sice by virus neodchytil předtím, než bude zařazen do přihrádky doručené pošty, ale odchytil by ho v momentě, kdy by se uživatel pokusil otevřít – spustit infikovanou přílohu e-mailu. A jelikož příloha není nic jiného než soubor a otevírání a spouštění je činností, kterou sleduje on-access skener, není co řešit. S tímto souvisí i další bod.
• Je potřeba si uvědomit, še přítomnost havěti – infikovaného souboru, e-mailu s infikovanou přílohou nemusí nutně znamenat, še PC je infikováno. Havěť se totiž může na pevném disku vyskytovat v „mrtvém“, neaktivním stavu. Typickým příkladem může být havěť, kterou uživatel dříve nebo později najde v adresáři „Internet Temporary Files“, kam si prohlížeč Internet Explorer odkládá data – soubory, které jsou nutné pro zobrazení webové stránky (obrázky, skripty, html kód), kterou si uživatel vyžádal. Některé stránky se mohou snažit úmyslně zneužít známou bezpečností chybu (program na stránkách, který se toho snaží dosáhnout se nazývá EXPLOIT), např. právě v aplikaci Internet Explorer s účelem spuštění škodlivého kódu bez vědomí uživatele. Pokud jde ale o POUČENÉHO UŽIVATELE (který aktualizuje mimo jiné i Internet Explorer), tak se sice tento exploit uloží do adresáře „Internet Temporary Files“, ale vzhledem k přítomnosti „záplatované“ – aktualizované verze Internet Explorer nedojde k provedení tohoto škodlivého kódu. Na pevném disku tak vznikla „mrtvá“ – neaktivní havěť. Opakem je „živá“ – aktivní havěť, která se obvykle pravidelně zavádí společně se startem operačního systému Windows a zanechává za sebou ilegální běžící procesy v paměti. Aktivní havěť může být antivirovým systémem detekována přímo v operační paměti.
• Na předchozí bod navazuje tento. Uživatel by měl zajistit i pravidelnou aktualizaci alespoň těch produktů, které mají něco společného s počítačovou sítí nebo Internetem. Programy mohou obsahovat chyby – bezpečnostní díry a pokud se objeví zrovna v části, která např. zajišťuje přístup do Internetu, může se najít vzdálený útočník (osoba – hacker, „sedící“ někde na Internetu), který chyby šikovně zneužije k tomu, aby získal nad PC uživatele kontrolu. Podobně se o to snaží např. i výše zmíněný exploit, tedy program – kód, který byl vytvořen s cílem úmyslně zneužít bezpečnostní chybu pro svůj prospěch (např. pro spuštění další havěti, která je dodatečně stažena z Internetu). Pokud se podíváme do praxe, měl by uživatel:
  • povolit pravidelnou aktualizaci operačního systému Windows (nabídka Start / Ovládací panely) (i když na toto pozor můžou tam být taky viry ty jsou dneska všude a microsoft je častým terčem),
  • navštěvovat stránky Windows Update a Office Update, kde se nachází průvodce, který zjistí aktuální stav PC uživatele a nabídne vhodné „záplaty“ na bezpečnostní díry ke stažení. První odkaz je velice důležitý, jelikož se stará o samotný operační systém Windows (ten je pochopitelně nejvíce ohrožen) a samozřejmě i o Internet Explorer. Druhý odkaz zajišťuje aktualizaci kancelářské balíku Microsoft Office.
  • pravidelně aktualizovat i další, běžně používané produkty (ICQ, DC…), které by mohly být z Internetu zneužity.



• Firewall, nejčastěji v podobě tzv. personálního firewallu by měl být taktéž výbavou uživatele přistupujícího k Internetu. Přítomnost firewallu je téměř nutností v momentě, kdy je uživatel k Internetu připojen veřejnou IP adresou a jeho počítač je tak přímo dosažitelný odkudkoliv z Internetu (veřejnou IP obvykle dostane uživatel při dial-up připojení či při připojení přes kabelový Internet – typicky Chello/UPC…). Podobně jako v případě antivirových systémů je ale potřeba, aby dokázal uživatel firewall správně používat. Musí být schopen určit, jaká komunikace je legální a ilegální, resp.: jakou povolit a zakázat. V opačném případě ztrácí přítomnost firewallu smysl. I ve firemních sítích se prostor pro personální firewally na stanicích najde a to především ve chvíli, kdy si někdo do takové sítě připojí havětí totálně prošpikovaný notebook. Pak nepomůže centrální firewall, který chrání firemní síť z venku (z Internetu), ale právě personální firewally přímo na stanicích. Mluvíme o útoku „ze vnitř“.
• V neposlední řadě by neměl uživatel klikat myší na vše, co ho zaujme. Obvykle je právě nadbytečné klikání myší zdrojem většiny problémů :-)