Da li imate trojanca?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uputstvo koje sledi ce vam pomoci da proverite da li je vas Windows inficiran nekim trojancem...

Trojanci se mogu 'sakriti' na 4 mesta: win.ini, system.ini, Startup folder i Registry baza!
Idemo redom:

Win.ini = C:\windows\win.ini
[windows]
Run=
Load=

Win.ini - fajl koji se moze naci u windows direktorijumu [kao sto i sami vidite] i svaki fajl koji dolazi posle komanda Run ili Load se ucitava kad god upalite racunar, a koristite Windows.

System.ini = c:\windows\system.ini
[boot]
shell=explorer.exe c:\windows\neki_trojanac.exe

Jos jedan nacin za ucitavanje programa je preko shella, tj. svaki program ce biti ucitan koji se nalazi u windows direktorijumu a nalazi se posle explorer.exe, kao na primeru.

Pogledajte i u C:\WINDOWS\Start Menu\Programs\StartUp\ sta ima, mozda cete naci nesto

I sad smo kod REGISTRY-a

Da bi mu pristupili idite u Start/Run i otkucajte REGEDIT.

U registriju postoji nekoliko mogucih mesta gde se moze smestiti trojanac da se ucitava. Ovde su navedeni:

[HKEY_CLASSES_ROOT]/exefile/shell/open/command
[HKEY_CLASSES_ROOT]/comfile/shell/open/command
[HKEY_CLASSES_ROOT]/batfile/shell/open/command
[HKEY_CLASSES_ROOT]/htafile/Shell/Open/Command
[HKEY_CLASSES_ROOT]/piffile/shell/open/command
[HKEY_LOCAL_MACHINE]Software/CLASSES/batfile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/comfile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/exefile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/htafile/Shell/OpenCommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/piffile/shell/opencommand

Ako kljucevi nemaju "%1" %" onda je verovatno zamenjeno sa ""server.exe %1" %"
Ovo je nacin kako se najcesce nalaze trojanci kako cete ih najverovatnije prepoznati.

PRIMER KAKO JE ODRADJEN POSAO U sub7 2.2

HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/explorer/User shell folders
Icq Inet
HKEY_CURRENT_USER]/Software/Mirabilis/ICQ/Agent/Apps

"Path"="test.exe"
"Startup"="c:\test"
"Parameters"=""
"Enable"="Yes"


Objasnjenje:

[HKEY_CURRENT_USER/Software/Mirabilis/ICQ/AgentApps]
Ovaj key detektuje kada je ostvarena konekcija prema Internetu i tu je upisana aplikacija koju ICQ tada pokrece.

Evo i najcesce koriscenih kljuceva:


HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices

Napisao: zivuljka

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I jos neka startup mesta u registry-u :
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\[CLSID key] - za*ebano da se otkrije medju hrpom onih kljuceva
HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run
HKLM\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\Current Version\RunServices
HKCU\SOFTWARE\Microsoft\Windows\Current Version\Run
HKCU\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\Current Version\RunServices
HKLM\SYSTEM\CurrentControlSet\Services - mesto gde se smestaju informacije o servisima - mozete brisati iz registry baze ili iz MMC-a (services.msc))
HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell - [i]u ovom value-u se cuva putanja do default shell-a. Na kraju putanje se moze dodati putanja do malicioznog koda. Primer :
Citat:explorer.exe winsvr.exe
Ovo winsvr.exe se nalazi u jednom od predefinisanih foldera (pomocu PATH-a)

Ima jos nekoliko startup metoda samo me mrzi sad da pisem...