(NA) Lov na spyware programe
(PN) Pošast koja je prisutna skoro na svakom računalu, ili koja
iskoristi vaš trenutak nepažnje i useli se u trenu - spyware
programi. Tek pokoji signal govori da se događa nešto čudno sa
vašim računalom. U većini slučajeva spyware programi kradu mali
dio vaše konekcije na Internet, šalju nekome nekakve podatke i
rade to bez vašeg znanja. Usput vas zasipaju gomilom reklama
reklamirajući svoje tvorce.
(AU) Piše: Predrag Kurtović
(ZN) 8497
Spyware programi kao i ostali iz te klase (mailware, virusi -
trojanci, adware programi) imaju jednu zajedničku osobinu.
Koristeći se sigurnosnim propustima u samom operativnom sustavu,
neznanjem samog korisnika ili kombinacijom oba faktora
instaliraju se na vaše računalo bez vašeg znanja. Ponekad je
potrebno samo posjetiti "pravu" stranicu da bi bili
zaraženi. Svakako je redoviti update antivirusnog programa
najbolja zaštita koju prosječni korisnik može sebi pružiti. No
ponekad i antivirusni programi posustanu i vaše računalo biva
zaraženo.
(SL) xcleaner.jpg Pretražite računalo uz pomoć Interneta u
potrazi za spyware programima
(NA) Osnovne značajke spyware programa
Uklanjanje samog spyware programa možemo predočiti u tri osnovne
faze: prvo trebate uočiti sam program kojeg niste instalirali na
vaše računalo. Zvuči čudno, ali pogledajte ikone koje prikazuju
iskorištenost vaše konekcije za Internet. Kako svaki program ove
vrste šalje podatke tako i ikone prikazuju nekakvu aktivnost.
Ako vi ništa ne radite, a ikone pokazuju aktivnost vrijeme je da
se zapitate posjedujete li neki zloćudni program na vašem
računalu. Svaki program koji se pokreće prilikom uključivanja
računala mora se upisati u registry Windows operativnog sustava
ili pak postaviti kraticu (shortcut) samog sebe u Startup
grupu.
Takvom akcijom osigurava svoju aktivnost prilikom svakog
pokretanja sustava. Kada se program na ovaj način pokrene
predstavlja jedan proces među mnoštvom koji su standardni za
uobičajen rad sustava. Ako pritisnete kombinaciju tipki Ctrl,
Alt i Delete pokrećete Windows Task Manager, a u njemu vidite i
sve trenutačno aktivne procese na svom računalu. Postoje i vrlo
napredni spyware programi koji neće biti vidljivi u ovom
programu, stoga za njihovu detekciju trebate koristiti druge
metode ili programe. Mjesto gdje se svaki program upisuje u
Windows sustavu je i već odavno poznati Registry. U ovom slučaju
posebno su zanimljivi programi koji se pokreću prilikom
pokretanja sustava: a skoro svi se nalaze u jednom ključu koji
glasi: HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows -
CurrentVersion - Run. Odaberite Start, zatim Run i upišite:
regedit. Pokrenut ćete program Registry Editor. Dođite do
navedenog ključa i pogledajte koji se programi pokreću prilikom
pokretanja vašeg računala. Svaki sustav ima uobičajene procese,
koji su uvijek prisutni u ovom ključu. Imena programa govore
puno: stoga je svakako sumnjiv program koji se zove npr.
"Wqtzw.exe". Takve programe ćete brzo uočiti. Zapišite
njegovo ime i potražite ga na vašem tvrdom disku. Drugi spyware
programi imaju zvučna imena poput dxsound.exe. Za ovakav program
svakako ne bi rekli da je opasan, ali kako se nalazi u ključu
kojeg smo naveli potražite ga na tvrdom disku. Kada ga nađete
svakako pogledate njegove osobine, opcija Properties govori
mnogo o programu. Ako je spyware u pitanju, neće biti niti imena
tvrtke koja ga je proizvela kao ni broja njegove inačice. To je
jedan od pokazatelja da je program i više nego sumnjiv.
Dxsound.exe je zapravo jedan dio velikog malware programa koji
je poznat pod imenom Proxy-Gric. Velika većina spyware programa
koristi i više datoteka sa nastavkom EXE kako bi spriječili
brisanje samog spyware programa, nakon što obrišete jedninu
(izvornu) EXE datoteku. Sada kada znate kako pregledati disk
zapišite sva sumnjiva imena EXE datoteka na koje naiđete.
Spyware programi mogu biti unutar i DLL datoteke, a često su
prisutni kao i male Java skripte ili kao HMTL datoteke. Važno je
napomenuti da često ovi programi imaju hidden atribut, što znači
da ih unutar standardnih postavki Windows Explorera nećete niti
vidjeti jer Windows Explorer ne dopušta prikaz skrivenih i
sistemskih datoteka.
(SL) hotaction.jpg Properties jednog dialera
(SL) skripta.jpg Instalacija spyware programa pomoću skripte
ovaj put nije bila uspješna
(SL) trojanac.jpg Trojanski virus u akciji: da nije bilo
antivirusnog programa ostao bi nezamijećen
(NA) Uklanjanje problematičnih datoteka
Svaku datoteku koju vidite na vašem računalu možete i obrisati
osim u jednom slučaju. Ako ta datoteka ima nastavak EXE ili je
dio nekog drugog programa, a tada može imati bilo koji nastavak
sami Windowsi neće dozvoliti brisanje datoteke jer je proces
aktivan. Samo brisanje datoteke u tom slučaju nije moguće. Ovu
osobinu koriste svi programi, pa tako i spyware programi. Prvo
trebate ukinuti proces u Windows Task Manageru. Tek kada tamo
prekinete proces možete obrisati sumnjivu EXE datoteku. Ako se
ni nakon ukidanja procesa datoteka ne može obrisati to znači
samo jednu stvar: da ste prekinuli krivi proces. Ponekad je
potrebno ponovno pokretanje sustava, a zatim i brisanje
datoteke. Prvi put ste obrisali sam proces, a nakon ponovnog
pokretanja sustava možete i obrisati željenu datoteku jer ona
više nije aktivna. Ako niste vični traženje procesa, uklanjanju
datoteka posegnut ćete za nekim od mnoštva programa koji služe
za uklanjanje ovakve vrste programa sa računala. Svima je
zajednička jedna stvar: morate ažurirati njihovu bazu podataka
kao i kod antivirusnih programa: jer novi spyware programi
izlaze svakodnevno.
(SL) proces.jpg Dok ne uklonimo proces ne možemo ukloniti niti
samu datoteku
(NA) Pomoć u nevolji
Svaki program koji vam pokazuje procese koji su aktivni, kao i
datoteke vezane uz taj proces može biti vrlo koristan. Jedan od
takvih je i program zvan HijackThis. Izvršna datoteka koju
skinete sa Interneta je malena i ima svega par opcija. Prva i
osnovna zadaća ovog programa je prikaz EXE ili DLL datoteka,
njegovo mjesto na tvrdom disku kao i proces s kojim su
asocirani. Samim tim smo ušteđeni mukotrpnog traženja po
računalu. Program kao rezultat svog rada prikaže jednu LOG
datoteku koja sadrži sve podatke koji su vam potrebni da bi
pronašli uljeza na vašem računalu. Kao i kod većine stvari: za
svaku EXE, DLL, OCX datoteku koja vam se učini sumnjiva,
zapišite njezino ime i u bilo kojoj tražilici (Google, Yahoo) na
Internetu prepišite njezino ime. Ako kao rezultat pretraživanja
dobijete potvrdu da je sumnjiva datoteka spyware, malware ili
trojanski virus zabilježite i način njegovog uklanjanja
(posjetite stranice antivirusnih programa).
Postoji određen broj "zloćudnih" programa koji kao
posljedicu svoje akcije mijenjaju homepage našeg Internet
pretraživača. I u ovom slučaju će HijackThis dati svoj mali
doprinos. U njemu se nalazi lista početnih postavki ovog
pretraživača, stoga je lako popraviti "oštećene"
stranice.
(SL) hijack.jpg Program prikazuje procese i datoteke vezane uz
procese
(SL) homepage.jpg HijackThis sadrži i ispravne postavke za
Internet Explorer
(NA) Internet Explorer na udaru spyware programa
Ponekad možete primijetiti da se početna stranica Internet
Explorera promijenila bez vašeg znanja. To je prvi i ozbiljni
znak da je vaše računalo zaraženo sa nekim od spyware ili
sličnih programa. Rijetko kada se stranica promijeni sama: ali
tada je jednostavno: upišete stranicu koju želite i problem je
riješen. Problemi nastaju kada nakon ponovnog pokretanja
računala Internet Explorer opet ima neželjenu stranicu. Početna
stranica može glasiti:
http://%77%77%77%2e%63%6f%6f%6c%77%77%77%. Ovakva početna
stranica ukazuje da je vaše računalo zaraženo trojanskim virusom
zvanim CoolWebSearch. Ovaj trojanski virus spada među jedne od
rijetkih koji imaju veliki broj inačica: preko četrdeset do
trenutka pisanja ovoga teksta. Nove inačice izlaze stalno, pa je
stoga potrebit redovit update antivirusnih programa ili
anti-spyware programa kojima je jedina zadaća čišćenje računala
od nametnika ove klase. Jedan program je specijalno namijenjen
uništavanju samo ovog trojanskog virusa i zove se CWShredder.
Automatski po završetku procesa vraća i početne postavke
(homepage Internet Explorera) i sve što još preostaje je ponovno
pokretanje računala. Inače ovaj trojanski virus koristi slabost
u Javi koja je instalirana na skoro svako računalo na kojem je
instaliran Windows operativni sustav. Microsoft je svjestan
propusta i nudi rješenje u obliku patcha kojeg možete naći na
adresi:
http://www.microsoft.com/technet/security/bulletin/MS03-011.asp.
Nove inačice CWShredder programa izlaze doslovno svaku sedmicu
dana jer i sam trojanski virus izlazi redovito u novim
inačicama. Oba programa (HijackThis i CWShredder) možete naći na
adresi: http://www.spywareinfo.com/~merijn/downloads.html
(SL) početna.jpg Samovoljna promjena početne stranice znak je
za uzbunu
(SL) coolweb.jpg Alat koji je namijenjen uništavanju
CoolWebSearch trojanca
(OK)
(NA) Pažnja prije svega
(ZN) 552
Na računalu morate imati instaliran antivirusni program koji
mora imati redoviti update. S time ćete zaustaviti većinu
trojanskih virusa. Nikada ne potvrđujte izbornike koji žele na
vaše računalo instalirati razne programe sumnjivog sadržaja.
Anti-spyware programi moraju imati također najnoviji update jer
su bez njega beskorisni: spyware programi izlaze skoro jednakim
ritmom kao i virusi. Uklanjanje spyware programa sa računala je
dug i mukotrpan posao: a ponekad ga nije moguće niti obaviti do
kraja: stoga krajnji oprez dok surfate po Internetu, posebno ako
se druzite sa vandom
(PN) Pošast koja je prisutna skoro na svakom računalu, ili koja
iskoristi vaš trenutak nepažnje i useli se u trenu - spyware
programi. Tek pokoji signal govori da se događa nešto čudno sa
vašim računalom. U većini slučajeva spyware programi kradu mali
dio vaše konekcije na Internet, šalju nekome nekakve podatke i
rade to bez vašeg znanja. Usput vas zasipaju gomilom reklama
reklamirajući svoje tvorce.
(AU) Piše: Predrag Kurtović
(ZN) 8497
Spyware programi kao i ostali iz te klase (mailware, virusi -
trojanci, adware programi) imaju jednu zajedničku osobinu.
Koristeći se sigurnosnim propustima u samom operativnom sustavu,
neznanjem samog korisnika ili kombinacijom oba faktora
instaliraju se na vaše računalo bez vašeg znanja. Ponekad je
potrebno samo posjetiti "pravu" stranicu da bi bili
zaraženi. Svakako je redoviti update antivirusnog programa
najbolja zaštita koju prosječni korisnik može sebi pružiti. No
ponekad i antivirusni programi posustanu i vaše računalo biva
zaraženo.
(SL) xcleaner.jpg Pretražite računalo uz pomoć Interneta u
potrazi za spyware programima
(NA) Osnovne značajke spyware programa
Uklanjanje samog spyware programa možemo predočiti u tri osnovne
faze: prvo trebate uočiti sam program kojeg niste instalirali na
vaše računalo. Zvuči čudno, ali pogledajte ikone koje prikazuju
iskorištenost vaše konekcije za Internet. Kako svaki program ove
vrste šalje podatke tako i ikone prikazuju nekakvu aktivnost.
Ako vi ništa ne radite, a ikone pokazuju aktivnost vrijeme je da
se zapitate posjedujete li neki zloćudni program na vašem
računalu. Svaki program koji se pokreće prilikom uključivanja
računala mora se upisati u registry Windows operativnog sustava
ili pak postaviti kraticu (shortcut) samog sebe u Startup
grupu.
Takvom akcijom osigurava svoju aktivnost prilikom svakog
pokretanja sustava. Kada se program na ovaj način pokrene
predstavlja jedan proces među mnoštvom koji su standardni za
uobičajen rad sustava. Ako pritisnete kombinaciju tipki Ctrl,
Alt i Delete pokrećete Windows Task Manager, a u njemu vidite i
sve trenutačno aktivne procese na svom računalu. Postoje i vrlo
napredni spyware programi koji neće biti vidljivi u ovom
programu, stoga za njihovu detekciju trebate koristiti druge
metode ili programe. Mjesto gdje se svaki program upisuje u
Windows sustavu je i već odavno poznati Registry. U ovom slučaju
posebno su zanimljivi programi koji se pokreću prilikom
pokretanja sustava: a skoro svi se nalaze u jednom ključu koji
glasi: HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows -
CurrentVersion - Run. Odaberite Start, zatim Run i upišite:
regedit. Pokrenut ćete program Registry Editor. Dođite do
navedenog ključa i pogledajte koji se programi pokreću prilikom
pokretanja vašeg računala. Svaki sustav ima uobičajene procese,
koji su uvijek prisutni u ovom ključu. Imena programa govore
puno: stoga je svakako sumnjiv program koji se zove npr.
"Wqtzw.exe". Takve programe ćete brzo uočiti. Zapišite
njegovo ime i potražite ga na vašem tvrdom disku. Drugi spyware
programi imaju zvučna imena poput dxsound.exe. Za ovakav program
svakako ne bi rekli da je opasan, ali kako se nalazi u ključu
kojeg smo naveli potražite ga na tvrdom disku. Kada ga nađete
svakako pogledate njegove osobine, opcija Properties govori
mnogo o programu. Ako je spyware u pitanju, neće biti niti imena
tvrtke koja ga je proizvela kao ni broja njegove inačice. To je
jedan od pokazatelja da je program i više nego sumnjiv.
Dxsound.exe je zapravo jedan dio velikog malware programa koji
je poznat pod imenom Proxy-Gric. Velika većina spyware programa
koristi i više datoteka sa nastavkom EXE kako bi spriječili
brisanje samog spyware programa, nakon što obrišete jedninu
(izvornu) EXE datoteku. Sada kada znate kako pregledati disk
zapišite sva sumnjiva imena EXE datoteka na koje naiđete.
Spyware programi mogu biti unutar i DLL datoteke, a često su
prisutni kao i male Java skripte ili kao HMTL datoteke. Važno je
napomenuti da često ovi programi imaju hidden atribut, što znači
da ih unutar standardnih postavki Windows Explorera nećete niti
vidjeti jer Windows Explorer ne dopušta prikaz skrivenih i
sistemskih datoteka.
(SL) hotaction.jpg Properties jednog dialera
(SL) skripta.jpg Instalacija spyware programa pomoću skripte
ovaj put nije bila uspješna
(SL) trojanac.jpg Trojanski virus u akciji: da nije bilo
antivirusnog programa ostao bi nezamijećen
(NA) Uklanjanje problematičnih datoteka
Svaku datoteku koju vidite na vašem računalu možete i obrisati
osim u jednom slučaju. Ako ta datoteka ima nastavak EXE ili je
dio nekog drugog programa, a tada može imati bilo koji nastavak
sami Windowsi neće dozvoliti brisanje datoteke jer je proces
aktivan. Samo brisanje datoteke u tom slučaju nije moguće. Ovu
osobinu koriste svi programi, pa tako i spyware programi. Prvo
trebate ukinuti proces u Windows Task Manageru. Tek kada tamo
prekinete proces možete obrisati sumnjivu EXE datoteku. Ako se
ni nakon ukidanja procesa datoteka ne može obrisati to znači
samo jednu stvar: da ste prekinuli krivi proces. Ponekad je
potrebno ponovno pokretanje sustava, a zatim i brisanje
datoteke. Prvi put ste obrisali sam proces, a nakon ponovnog
pokretanja sustava možete i obrisati željenu datoteku jer ona
više nije aktivna. Ako niste vični traženje procesa, uklanjanju
datoteka posegnut ćete za nekim od mnoštva programa koji služe
za uklanjanje ovakve vrste programa sa računala. Svima je
zajednička jedna stvar: morate ažurirati njihovu bazu podataka
kao i kod antivirusnih programa: jer novi spyware programi
izlaze svakodnevno.
(SL) proces.jpg Dok ne uklonimo proces ne možemo ukloniti niti
samu datoteku
(NA) Pomoć u nevolji
Svaki program koji vam pokazuje procese koji su aktivni, kao i
datoteke vezane uz taj proces može biti vrlo koristan. Jedan od
takvih je i program zvan HijackThis. Izvršna datoteka koju
skinete sa Interneta je malena i ima svega par opcija. Prva i
osnovna zadaća ovog programa je prikaz EXE ili DLL datoteka,
njegovo mjesto na tvrdom disku kao i proces s kojim su
asocirani. Samim tim smo ušteđeni mukotrpnog traženja po
računalu. Program kao rezultat svog rada prikaže jednu LOG
datoteku koja sadrži sve podatke koji su vam potrebni da bi
pronašli uljeza na vašem računalu. Kao i kod većine stvari: za
svaku EXE, DLL, OCX datoteku koja vam se učini sumnjiva,
zapišite njezino ime i u bilo kojoj tražilici (Google, Yahoo) na
Internetu prepišite njezino ime. Ako kao rezultat pretraživanja
dobijete potvrdu da je sumnjiva datoteka spyware, malware ili
trojanski virus zabilježite i način njegovog uklanjanja
(posjetite stranice antivirusnih programa).
Postoji određen broj "zloćudnih" programa koji kao
posljedicu svoje akcije mijenjaju homepage našeg Internet
pretraživača. I u ovom slučaju će HijackThis dati svoj mali
doprinos. U njemu se nalazi lista početnih postavki ovog
pretraživača, stoga je lako popraviti "oštećene"
stranice.
(SL) hijack.jpg Program prikazuje procese i datoteke vezane uz
procese
(SL) homepage.jpg HijackThis sadrži i ispravne postavke za
Internet Explorer
(NA) Internet Explorer na udaru spyware programa
Ponekad možete primijetiti da se početna stranica Internet
Explorera promijenila bez vašeg znanja. To je prvi i ozbiljni
znak da je vaše računalo zaraženo sa nekim od spyware ili
sličnih programa. Rijetko kada se stranica promijeni sama: ali
tada je jednostavno: upišete stranicu koju želite i problem je
riješen. Problemi nastaju kada nakon ponovnog pokretanja
računala Internet Explorer opet ima neželjenu stranicu. Početna
stranica može glasiti:
http://%77%77%77%2e%63%6f%6f%6c%77%77%77%. Ovakva početna
stranica ukazuje da je vaše računalo zaraženo trojanskim virusom
zvanim CoolWebSearch. Ovaj trojanski virus spada među jedne od
rijetkih koji imaju veliki broj inačica: preko četrdeset do
trenutka pisanja ovoga teksta. Nove inačice izlaze stalno, pa je
stoga potrebit redovit update antivirusnih programa ili
anti-spyware programa kojima je jedina zadaća čišćenje računala
od nametnika ove klase. Jedan program je specijalno namijenjen
uništavanju samo ovog trojanskog virusa i zove se CWShredder.
Automatski po završetku procesa vraća i početne postavke
(homepage Internet Explorera) i sve što još preostaje je ponovno
pokretanje računala. Inače ovaj trojanski virus koristi slabost
u Javi koja je instalirana na skoro svako računalo na kojem je
instaliran Windows operativni sustav. Microsoft je svjestan
propusta i nudi rješenje u obliku patcha kojeg možete naći na
adresi:
http://www.microsoft.com/technet/security/bulletin/MS03-011.asp.
Nove inačice CWShredder programa izlaze doslovno svaku sedmicu
dana jer i sam trojanski virus izlazi redovito u novim
inačicama. Oba programa (HijackThis i CWShredder) možete naći na
adresi: http://www.spywareinfo.com/~merijn/downloads.html
(SL) početna.jpg Samovoljna promjena početne stranice znak je
za uzbunu
(SL) coolweb.jpg Alat koji je namijenjen uništavanju
CoolWebSearch trojanca
(OK)
(NA) Pažnja prije svega
(ZN) 552
Na računalu morate imati instaliran antivirusni program koji
mora imati redoviti update. S time ćete zaustaviti većinu
trojanskih virusa. Nikada ne potvrđujte izbornike koji žele na
vaše računalo instalirati razne programe sumnjivog sadržaja.
Anti-spyware programi moraju imati također najnoviji update jer
su bez njega beskorisni: spyware programi izlaze skoro jednakim
ritmom kao i virusi. Uklanjanje spyware programa sa računala je
dug i mukotrpan posao: a ponekad ga nije moguće niti obaviti do
kraja: stoga krajnji oprez dok surfate po Internetu, posebno ako
se druzite sa vandom
Nema komentara:
Objavi komentar