- PCMagazine - http://www.pcmagazine.co.il -
להסיר וירוסים קשים :: HiJacking למקצוענים
נכתב ע''י אדיר רצון בתאריך 4 במאי 2009 @ 1:51 בקטגוריה מדריכים | 3 Comments
Hijacking הוא מושג רחב מימדים שקיבל את שמו מהקשר המושג "IE Hijacker", שאלו בדרך כלל קבצים מזיקים אשר "חוטפים מידע" לרוב מדפדפן האינטרנט שלנו. מושג זה תורגם ל- Hijacking רשמית ברגע שפותחה התוכנה HijackThis [1] ומאותו רגע המושג Hijacking התפתח למן "אינוס מערכת ההפעלה" על מנת לתקן תקלות, להסיר וירוסים וקבצים מזיקים .
במדריך זה אלמד אתכם כיצד להתגבר על וירוסים במערכת, כיצד לתרגם את אופי ההתנהגות של מערכת ההפעלה ולקבוע את אופן הפעולה לה אתם זקוקים.
לא משנה באיזו מערכת הפעלה אתם משתמשים, הכירו אותה. לפני מספר חודשים נתקלתי בילד שטען שהוא מומחה לוינדוס. כאשר שאלתי אותו: "מה תעשה אם המחשב נדבק בוירוס ?" הוא התחיל למלמל לי כל מיני שמות תוכנות שהן בעצם "אשפים" כגון: CCleaner [2], CleanUp [3] כמובן שלאחר לחץ קצרצר הוא הסביר שאשר נכנסים למערכת ב"מצב בטוח" יתכן ותוכל להסיר את הוירוס באמצעות סריקה פשוטה באנטי וירוס.
חשוב שתדעו, פעולות מסויימות כמו לדוגמא נקיון במצב בטוח על ידי NOD32 או כל אנטי וירוס אחר, לאו דווקא לא טובות. אך הן לא יצליחו ב 95% מהמקרים. ב- 95% מהמקרים תאלצו לבצע Hijacking למערכת שלכם. לתרגם את מיקומו של כל קובץ חשוד או כל ערך שאינו יושב היכן שצריך ולבעוט בו. אפשר להגדיר את המונח Hijack בתור "ניתוח ידני למערכת ההפעלה והקבצים בה" .
קבצי איתחול אלו הקבצים היחידים בהם נעסוק במדריך זה. אלו הם בעצם הקבצים הכי חשובים במערכת. במידה ואחד מהם לא נטען כראוי כנראה והמערכת שלנו לא תתפקד כמו שצריך או שאינה תפעל כלל. בנוסף, כל וירוס שקיים עליי אדמות הינו קובץ איתחול. הרי בכדאי לטעון עצמו כל הפעלה מחדש הוא חייב להימצא בסביבת האתחול של הוינדוס. מה שבעצם נעשה "בניתוח הידני" (Hijacking) הוא ניתוח ממוקד בכדי לעקור את המזיק שלא יימצא יותר בהפעלת הוינדוס, בכך הוא לא יעיל יותר. בשלב זה אמליץ לכם להציץ ברשימה המלאה [4] שפורסמה לא מזמן שמכילה מאגר גדול של וירוסים ידועים בה תוכלו להעזר.
אחד הדברים החשובים ביותר זה להכיר את קבצי המערכת בעל פה. אני מציע לכם, לפתוח בכמה מחשבים במקביל את הכלי 'Autoruns [5]' או 'RunsScanner [6]' וללמוד את שמות קבצי ההפעלה בעל פה. כמובן שרצוי לעשות זאת בכמה מערכות הפעלה במקביל, הרי לא לכל מערכת הפעלה (XP, VISTA, WIN03) יש את אותם קבצי המערכת. שימו לב, שלרוב קבצי הפעלה יהיו מתוייגים ע"י שם היוצר שלהם, הרי זה קשה מאוד לפיברוק או זיוף אך זה בהחלט אפשרי .
הוירוסים של שנות ה-2000 המוקדמות היו ממש מצחיקים. מן קבצים קטנים ועלובים שיכולתם לתקן ולסדר באמצעות ביטול ההפעלות ב – MSCONFIG. בשנת 2003 בערך, משתמשים זדוניים התחילו להתייחס קצת ברצינות לתוכנה "HijackThis [1]". כבר בשנה ההיא התפתח לו ה Rootkit שנקרא "HackerDefender" שהוא בעצם קוד פתוח, יותר נכון… חצי קוד פתוח. הוא נותן בעצם אפשרות לאחסן וירוס בתוכו. לא אתעסק יותר מדי במונח Rootkit, כיוון שישנן הרבה כתבות ומאמרים כאן באתר שמסבירים על כך היטב. אך אתן שורה אחת של הסבר פשוט כדי שכולם יבינו. Rootkit = זו בעצם שכבת מסתור. כל אנטי וירוס סורק וירוסים בצורה מסודרת, לפי סדר שתוכנן מראש וע"י פקודת C שנקבעה מלכתחילה שאין לה כל כך אפשרות לשנות את סדרה. מה שבעצם ה Rootkit מדווח לאנטי וירוס הוא פשוט מאוד: "דלג מעליי." בכך הוא ידלג מעל הוירוס ויתן שליטה מלאה לוירוס לבצע את זממיו .
השיטות של פעם. חלונית MSCONFIG
וירוסים קשים מיוצרים כיום בד"כ למטרות קידום ורווח. זה יכול להיות איזה שהוא חיקוי לתוכנת אנטי וירוס (Antivirus2009, SpySheriff) וזה יכול להיות גם Keylogger או כל מזיק אחר ששואב מידע חשוב וחיוני מהמחשב. ברוב המקרים הללו אלו הם ה- Rootkits שעושים את העבודה יותר קשה, מתנגחים עם מערכת ההפעלה, משתקים לחלוטין את תוכנת האנטי וירוס עד לכדי לא רלוונטית. מה שנאלץ לבצע על מנת להסיר את הוירוס, הוא תחילה להסיר את שכבת ההגנה של ה Rootkit ורק אז להסיר את הוירוס.
איזמל ופטיש עדיין לא, אבל חשוב מאוד להיות קשובים להסברים הבאים.
הוינדוס ממש איטי וזה לא קורה סתם. מחשב איטי ברוב מהמקרים מושפע מהאיתחולים שלו. לדוגמא, במידה ונסרוק את המחשב שלנו באמצעות התוכנה HijackThis [1], נוכל לגלות שישנם כל מיני קבצים מוזרים שפועלים יחד עם הפעלת הוינדוס. במידה ותסירו אותם, לאחר הפעלה מחודשת של המחשב כבר תוכלו לחוש בשינוי. (אני ממליץ לקרוא את המדריך על התוכנה HijackThis [1] על מנת להכשיר עצמכם לבצע זאת עם נסיון)
הוינדוס נפתח, אך לא נפתחים סמלים בכלל. זה בד"כ נובע משגיאות ב Winlogon, שאני אומר שגיאות אני מתכוון לוירוסים לרוב. רק וירוסים יכולים להחדיר עצמם למקומות כה רגישים, לרוב זה ילווה באמצעות Rootkit מסויים. בשלב זה אסביר לכם שיש כמה שכבות שה Rootkit מייצר, כל עוד ה Rootkit עדיין פועל במחשב, לא תצליחו להסיר את הוירוס ! לכן, עלינו תחילה להסיר את "שכבת האבטחה" של הוירוס הלא הוא ה Rootkit.
הדרך הטובה ביותר להסרת Rootkit: ישנן שלוש תוכנות עליהן אמליץ. לפני זאת, אדגיש כי עליכם להיות מנוסים ביותר בהכרת קבצי האיתחול של הוינדוס, עליכם להכיר קבצים לא מזוהים ולדעת לזהות אינסטינקטיבית קבצים עוינים.
שלוש התוכנות הטובות ביותר להסרת וירוסים כיום הן: UnHackMe [7], ComboFix [8] ו RunsScanner [6]. השתיים המומלצות ביותר מבין שלושתן הן ComboFix [8] ו UnHackMe [7]. בכדי להשתמש בתוכנה RunsScanner תצטרכו ידע רחב בהכרת המערכת, לכן לא אגע בתוכנה זו במדריך, אך כתבתי את שמה על מנת שתלמדו לנתח שמות קבצים בעתיד.
הכנסו למצב בטוח בהפעלת המחשב, במצב זה רוב התקני המערכת לא יפעלו, בניהם גם ה Rootkits שמקוטלגים בתור System Devices (רובם מקוטלגים כך). לאחר שנכנסנו למצב בטוח זה הזמן לחסל את ה Rootkit תחילה.
לחסל Rootkit: אמליץ תחילה להשתמש בתוכנה UnHackMe [7]. (שלא תתבלבלו, גם השימוש בתוכנה UnHackMe [7] מצריך נסיון בהכרת קבצי האיתחול של המחשב. זאת מכוון שהתוכנה תשאל אתכם על כל קובץ שהיא לא מזהה, שפועל עם הפעלת הוינדוס ועליכם להחליט מה הוא קובץ עוין ומה לא) אני מציע לכם להציץ ברשימה זו [9], היא תתן לכם קצת מידע על Rootkits ידועים. למעשה, כל קובץ עוין שהיא כן מכירה היא תציין זאת ע"י Malware באדום, ואז פשוט לחצו על "Get It Out" . בשלב זה אוסיף כי מאגר ה Rootkits אינו עשיר בהשוואה למאגר הוירוסים. זאת מכוון שתוכנת Rootkit היא תוכנה מאוד קשה לכתיבה, רובן נכתבות בשפת C ולוקח חודשים לפתח אותן.
ברגע שסרקתם את המחשב באמצעות UnHackMe [7] נסו לבצע הפעלה רגילה למחשב. במידה והוינדוס לא עלה בהצלחה במצב רגיל, נסו לבצע את אותן פעולות בשנית. לפעמים המלחמה העיקשת הזו מלווה בהחלפת שמות הקבצים של הוירוס או של התבנית של ה Rootkit כך שזה עלול להקשות מעט.
במידה וההפעלה מחדש הצליחה והוינדוס אכן עלה, השתמשו בתוכנה ComboFix [8] לנקיון השאריות של הוירוסים הרגילים ושרידי ה Rootkit. אפשר לומר שכרגע נפתרנו משכבת אבטחה אחת! חשוב לקרוא את כל המידע אודות התוכנה ComboFix [8] לפני השימוש, ולדאוג לבטל כל אנטי וירוס או כל תוכנה אחרת שעיקרה לשמור ולהגן על המחשב, על מנת לא לגרום לכשל בסריקה. (כפי שצוין במדריך)
בתום הסריקה של ComboFix [8] וברגע יפתח חלון ה Log של התוכנה, אני ממליץ לבצע Hijacking בעזרת HijackThis [1] לחתימה סופית של ההליך. אפשר להעזר בכלים לניקוי קבצים זמניים שינקו כל מני וירוסים ממחיצות ה Temporary, נסו את CleanUp [3].
אפשר לומר שזהו הטול להסרת Rootkits. לרוב זו מלחמה עקובה מדם, אך זה אפשרי.
כמובן שיש מקרים חריגים בהם תאלצו להשתמש בכלים Manuals יותר כגון, RunsScanner [6] ורק אז ב UnHackMe [7] ו ComboFix [8], אבל הסיכויים שהוינדוס יקרוס לאחר פעולה כזו הם גדולים. (כמובן מנקודת הנחה שאתם לא ממש מתמצאים בזאת)
לסיום אציין כי המידע שנכתב כאן הוא לצורכי לימוד והעשרה בלבד. מערכות הפעלה יקרסו במידה ואתם לא ממש בקיאים בקבצי הפעלה במערכות וינדוס. לכן, קודם התנסו על מערכות וירטואליות. העשירו את הידע בלמידת הקבצים הנורמטיביים של הוינדוס כפי שציינתי קודם לכן. אפשר לומר שברגע שתגיעו לתוצאות מספקות כמה עשרות או מאות פעמים תלמדו יותר ויותר טאקטיקות להפטרות ממזיקים קשים, זהו שיעור שלא נגמר והנסיון קובע את הטון בסופו של דבר.
מדריך זה שמור בזכויות יוצרים כחוק. אין להעתיק את תוכנו ואין להעבירו לאתר אחר מבלי אישור מהמחבר.
הכתבה הודפסה מאתר PCMagazine: http://www.pcmagazine.co.il
קישור לכתבה: http://www.pcmagazine.co.il/guides/pid=5966&name=%d7%9b%d7%99%d7%a6%d7%93-%d7%9c%d7%94%d7%a1%d7%99%d7%a8-%d7%95%d7%99%d7%a8%d7%95%d7%a1%d7%99%d7%9d-%d7%9c%d7%9e%d7%aa%d7%a7%d7%93%d7%9e%d7%99%d7%9d
קישורים לכתבה:
[1] HijackThis: http://www.pcmagazine.co.il/?dir=/articles/pid=83&name=hijackthis
[2] CCleaner: http://www.filehippo.com/download_ccleaner/download/2f42ba39cf11d674a65232d5f913e667
[3] CleanUp: http://www.pcmagazine.co.il/download/CleanUp
[4] רשימה המלאה: http://www.pacs-portal.co.uk/startup_pages/startups_all.zip
[5] Autoruns: http://www.pcmagazine.co.il/download/Autoruns
[6] RunsScanner: http://www.pcmagazine.co.il/download/RunsScanner
[7] UnHackMe: http://www.pcmagazine.co.il/?dir=/articles/pid=85&name=unhackme-%d7%95%d7%95%d7%90%d7%95-%d7%96%d7%95-%d7%94%d7%9e%d7%99%d7%9c%d7%94
[8] ComboFix: http://www.pcmagazine.co.il/?dir=/guides/pid=23&name=combofix-%d7%9c%d7%9c%d7%90-%d7%a6%d7%9c-%d7%a9%d7%9c-%d7%a1%d7%a4%d7%a7-%d7%94%d7%93%d7%91%d7%a8-%d7%94%d7%91%d7%90
[9] להציץ ברשימה זו: http://www.bleepingcomputer.com/startups/rootkit.html
לחץ כאן להדפסה.
Copyright © PCMagazine. All rights reserved