Da li imate trojanca?

Da li imate trojanca?

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23211
  • Gde živiš: Niš

Uputstvo koje sledi ce vam pomoci da proverite da li je vas Windows inficiran nekim trojancem...

Trojanci se mogu 'sakriti' na 4 mesta: win.ini, system.ini, Startup folder i Registry baza!
Idemo redom:

Win.ini = C:\windows\win.ini
[windows]
Run=
Load=

Win.ini - fajl koji se moze naci u windows direktorijumu [kao sto i sami vidite] i svaki fajl koji dolazi posle komanda Run ili Load se ucitava kad god upalite racunar, a koristite Windows.

System.ini = c:\windows\system.ini
[boot]
shell=explorer.exe c:\windows\neki_trojanac.exe

Jos jedan nacin za ucitavanje programa je preko shella, tj. svaki program ce biti ucitan koji se nalazi u windows direktorijumu a nalazi se posle explorer.exe, kao na primeru.

Pogledajte i u C:\WINDOWS\Start Menu\Programs\StartUp\ sta ima, mozda cete naci nesto Smile

I sad smo kod REGISTRY-a

Da bi mu pristupili idite u Start/Run i otkucajte REGEDIT.

U registriju postoji nekoliko mogucih mesta gde se moze smestiti trojanac da se ucitava. Ovde su navedeni:

[HKEY_CLASSES_ROOT]/exefile/shell/open/command
[HKEY_CLASSES_ROOT]/comfile/shell/open/command
[HKEY_CLASSES_ROOT]/batfile/shell/open/command
[HKEY_CLASSES_ROOT]/htafile/Shell/Open/Command
[HKEY_CLASSES_ROOT]/piffile/shell/open/command
[HKEY_LOCAL_MACHINE]Software/CLASSES/batfile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/comfile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/exefile/shell/opencommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/htafile/Shell/OpenCommand
[HKEY_LOCAL_MACHINE]Software/CLASSES/piffile/shell/opencommand

Ako kljucevi nemaju "%1" %" onda je verovatno zamenjeno sa ""server.exe %1" %"
Ovo je nacin kako se najcesce nalaze trojanci kako cete ih najverovatnije prepoznati.

PRIMER KAKO JE ODRADJEN POSAO U sub7 2.2

HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/explorer/User shell folders
Icq Inet
HKEY_CURRENT_USER]/Software/Mirabilis/ICQ/Agent/Apps

"Path"="test.exe"
"Startup"="c:\test"
"Parameters"=""
"Enable"="Yes"


Objasnjenje:

[HKEY_CURRENT_USER/Software/Mirabilis/ICQ/AgentApps]
Ovaj key detektuje kada je ostvarena konekcija prema Internetu i tu je upisana aplikacija koju ICQ tada pokrece.

Evo i najcesce koriscenih kljuceva:


HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices

Napisao: zivuljka



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 26 Jun 2004
  • Poruke: 32
  • Gde živiš: Vranje

I jos neka startup mesta u registry-u :
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\[CLSID key] - za*ebano da se otkrije medju hrpom onih kljuceva
HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run
HKLM\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\Current Version\RunServices
HKCU\SOFTWARE\Microsoft\Windows\Current Version\Run
HKCU\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\Current Version\RunServices
HKLM\SYSTEM\CurrentControlSet\Services - mesto gde se smestaju informacije o servisima - mozete brisati iz registry baze ili iz MMC-a (services.msc))
HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell - [i]u ovom value-u se cuva putanja do default shell-a. Na kraju putanje se moze dodati putanja do malicioznog koda. Primer :
Citat:explorer.exe winsvr.exe
Ovo winsvr.exe se nalazi u jednom od predefinisanih foldera (pomocu PATH-a)


Ima jos nekoliko startup metoda samo me mrzi sad da pisem... Smile



Ko je trenutno na forumu
 

Ukupno su 1102 korisnika na forumu :: 43 registrovanih, 6 sakrivenih i 1053 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., ajo baba, Alibaba1981, Avalon015, bankulen, Battlehammer, Bobrock1, bojcistv, bokisha253, dehhhhi, DonRumataEstorski, Dorcolac, elenemste, Georgius, gomago, havoc995, kybonacci, laurusri, lcc, MB120mm, MegaVLAdaR, Milan A. Nikolic, MiroslavD, mkukoleca, operniki, pein, Povratak1912, procesor, raptorsi, S-lash, sap, saputnik plavetnila, Sirius, Srle993, UAV operator, uruk, vargas, vathra, Viceroy, wolf431, x9, zodiac94, 79693