Skoči na vsebino

SI-CERT 2002-CIACTech02-004 / Parazitni programi

Parazitni programi; Adware, Spyware in prikrita omrežja

Tema:Programi namenoma vsebujejo legalne programe, ki na zaslonu prikazujejo oglase, opazujejo navade pri spletnem brskanju in prodajajo neporabljeno procesorsko moč in prostor v pomnilniku. Trenutne aplikacije so relativno nedolžne, vendar pa bi lahko bile uporabljene za vdiranje v našo zasebnost in druge zle namene.
Platforma:Primarno Windows okolje, vendar lahko katerakoli platforma, ki se povezuje v internet.
Povzetek:Nedavna poročila spletnih oglaševalskih podjetij, ki so predstavila svoje načrte, je obelodanila sposobnosti parazitnih programov, ki se namestijo hkrati z legalnimi programi. Ti programi dajo zunanjim podjetjem možnost vpogleda v navade pri spletnem brskanju, pregledujejo dokumente in uporabljajo neporabljeno procesorsko moč in prostor v pomnilniku. Večina teh programov trenutno le razpečuje usmerjene oglase, vendar pa so ti programi sposobni narediti veliko več. Globoko v drobnem tisku uporabniških pogodb se skrivajo pravni členi, ki programskem podjetju dovoljujejo nekontroliran dostop do vašega računalnika. Predstavljeni načrti vsaj enega teh podjetij vsebujejo prodajanje vašega prostora in procesorske moči drugim podjetjem. V tem članku bomo ugotovili, kaj se pravzaprav dogaja, kaj nam lahko obstoječa tehnologija povzroči in kako lahko parazitne programe odkrijemo in odstranimo.

Uvod

Nedavno objavljeni članek na “CNet News” je obelodanil napredek pri prikritem in parazitnem programiranju in načrte dobaviteljev le teh programov. Parazitni programi so samostojni računalniški programi, ki so pripeti in se namestijo hkrati z nam znanim programom. Članek opisuje poglede skupine “Securities and Exchange Commission” na digitalno oglaševalsko podjetje “Brilliant Digital Entertainment“. Brilliant Digital je izdelal pregledovalnik, “b3d Projector”, s katerim prikazuje digitalne oglase. V tem primeru je program Brilliant Digitala povezan s priljubljenim Kazaa” izmenjevalnikom datotek. Po članku sodeč, je Brilliant Digital načrtoval uporabo neporabljene procesorske moči in prostrora na trdih diskih tistih računalnikov, ki so namestili Kazza. Omenjeno podjetje naj bi procesorsko moč in prostor na vaših sistemih prodajalo drugim podjetjem.

Na tem mestu moramo postaviti ločnico med parazitnimi programi in programi za porazdeljevanje sredstev, kot je na primer “SETI Screensaver“, ki v času, ko je aktiviran ohranjevalnik zaslona išče inteligentne signale v SETI podatkih. Programi takega tipa tečejo na računalniku takrat, ko ga vi ne uporabljate in so nameščeni direktno od vas (ne pa kot dodatek kakšnemu drugemu programu). To pomeni, da vam neposredno povedo čemu so namenjeni in kaj bodo delali z vašim sistemom (podrobnosti niso skrite v drobnem tisku).

Ta članek bo podrobno preučil parazitne programe, njihovo delovanje, kaj bi lahko naredili in vam svetoval, kako se teh programov lahko znebite. Naš sklep je, da takšni programi nikakor ne smejo biti dovoljeni, oziroma nameščeni v podjetjih in vladnih ustanovah.

Delovanje parazitnih programov

Parazitne programe delimo v tri kategorije: “Adware”, “Spyware” in “prikrita omrežja”. Večina teh programov pride v vaš računalnik kot priponka ob nameščanju nekega drugega programa, ki ste ga kupili oziroma pretočili v vaš sistem. Za razliko od računalniških virusov, ki se pripnejo drugim programom in vdrejo v naš sistem, pa so parazitni programi namerno pripeti programom, s katerimi jih dobite.

Adware

Najbolj znani paraziti so prav gotovo Adware programi. Najbolj znani so tisti, ki prikazujejo oglase na različnih spletnih straneh, katere obiskujete. Te oglase vam namerno vstavijo lastniki strani, ki jih obiskujete in so večinoma sestavljeni iz parih vrstic JavaScript ali HTML kode. Načeloma je lastnik spletne strani plačan, če uporabnik klikne povezavo na stran podjetja, ki ga lastnik spletne strani oglašuje. Povezave so večinoma standardne html oziroma slikovne, kjer je izvorna koda slika oglaševanega podjetja, ali pa JavaScript, ki doseže isti učinek. Poleg tega, da s klikom pošljemo zahtevo po strani oglaševanega podjetja, pogosto pošljemo tudi naslov strani, s katere smo kliknili povezavo. Posledica tega je, da nam pošljejo oglas, ki se nanaša na področja, ki nas zanimajo.

Skupaj z zahtevo po oglaševani spletni strani pa vaš brskalnik oglaševalnemu strežniku pošlje tudi vse piškotke, ki jih je ta morebiti prej poslal vam. Ti piškotki vaš računalnik podjetju enolično identificirajo, ne morejo pa identificirati uporabnika, če jim ta ni posredoval svojih osebnih podatkov. Piškotki se uporabljajo tudi za usmerjanje oglaševanja na področja, ki uporabnika zanimajo in sicer z izdelavo profila s pomočjo naslovov strani, katere obiskuje.

Ena od možnosti oglaševanja je slika velikosti 1 piksel, ki je pripeta na posameznih straneh. Slika sama ne nosi oglasne vsebine, pripomore pa pri profiliranju uporabnikov.

Na tem mestu moramo omeniti tudi nadležna “pop-up” okna, ki vsebujejo oglase, in se odprejo, ko obiščete neko spletno stran. Obiskana stran preprosto vsebuje nekaj vrstic JavaScript-a, ki odpre novo okno in vanj vstavi oglas.

V isto kategorijo prav tako spada Aktiven Adware. To je program, ki teče na vašem sistemu ter zbira in prikazuje oglase, običajno glede na določene pogoje. Tak pogoj je na primer zagnan program KaZaA Media Desktop. Ti programi imajo prednaloženo množico oglasov, zato ne potrebujejo povezave z internetom za njihovo prikazovanje. Oglase posodobijo, ko se priključite na internet ter jih prikazujejo kadarkoli uporabljate računalnik.

Spyware

Spyware se od Adware-a kar močno razlikuje, kljub temu, da oba poizkušata ugotoviti področja, za katera se zanimate, z namenom pošiljanja oglasov, ki se skladajo z vašimi zanimanji. Medtem, ko Adware pozna zgolj naslov strani, katero ste pregledovali v času prikaza oglasa pa Spyware aktivno spremlja vse vaše pregledovanje spleta in poroča oglaševalskemu strežniku. Adware lahko torej dobi vaše podatke zgolj v primeru, ko vstopite na stran, ki vsebuje oglas, Spyware pa spremlja vaše celotno brkljanje. To doseže tako, da pregleda datoteke z zgodovino brkljanja, kjer dobi spisek strani, katere ste obiskali. Poleg tega pregleda tudi priljubljene povezave, ter začasne internetne datoteke, kjer dobi spisek še dodatnih strani. Pregleda tudi datoteko s piškotki, kjer izve, katera podjetja ste na spletu že obiskali. V primeru, da je program našel tudi piškotek lastne oglaševalske agencije, vas lahko poveže z vsemi informacijami, ki jih je zbral.

Program SaveNow, ki je vključen v paket KaZaA očitno dela prav to, saj ima odprte povezave tako do datotek zgodovine, začasnih datotek, kot tudi do datoteke s piškotki.

Prikrita omrežja

Prikrita omrežja so omrežja računalnikov, ki si delijo določene podatke. To so omrežja, ki si delijo datoteke, namesto po principu odjemalec – strežnik pa delujejo po principu peer-to-peer. Datoteke so razpršene po veliko računalnikih, ti pa si iskalno zahtevo podajajo med seboj, dokler datoteka ni najdena.

Ta omrežja uporabljajo običajna omrežja, delujejo pa kot bi bila od njih ločena.

Prikrita omrežja se lahko uporabi za shranjevanje podatkov in izvrševanje poslov na tujih sistemih.

Da pa bi ta omrežja lahko delovala, morajo imeti nameščen program na vsakem računalniku, ki bo sestavljal to omrežje. “Altnet” podjetja Brilliant Digital je primer takšnega omrežja.

Browser Helper Objects

Browser Helper Objects (BHO) predstavljajo eno od poti, po katerih lahko adware, spyware ali prikrita omrežja pridejo na vaš sistem. (vir: CIAC Technical Bulletin CIACTech02-002: Microsoft Browser Helper Objects (BHO) Could Hide Malicious Code). BHO-ji so aktivni takrat, ko je aktiven Internet Explorer. Ker so napisani v izvršljivi kodi, lahko naredijo vse, kar lahko naredi katerikoli izvršljivi program. Tažava je v tem, da v programu Internet Explorer ne moremo videti, kateri BHO-ji so mu pripeti, se bodo pripeli ali njihovo pripenjanje onemogočiti.

Za njihovo identifikacijo moramo najti njihove ključe v MS Windows registru.

Tveganja ob dopuščanju delovanja parazitnih programov

Trenutna množica parazitnih programov je izredno nadležna in lahko predstavlja vdor v vašo zasebnost. Zaenkrat parazitni programi, ki so v obtoku ne povzročajo škode, prihodnji pa jo bodo lahko. Parazitni programi imajo dostop do vašega sistema in vseh datotek na njem. Predstavljajte si, da je parazitni program razširilo konkurenčno podjetje ali agent tuje obveščevalne službe. Razmislite, kaj lahko takšen program naredi, saj ima dostop do vseh vaših dokumentov in interneta.

  • Vaše datoteke lahko pošlje strežniku konkurenčnega podjetja
  • Lahko nadzoruje vašo elektronsko pošto in razpečava njeno vsebino
  • Lahko pošilja sporočila pod vašim imenom
  • Tajnemi osebi lahko omogoči dostop v vaš sistem
  • Konkurenci lahko omogoči, da uporabi moč vaših računalnikov za svoj razvoj
  • Spremeni lahko dokumentacijo in specifikacije na vašem sistemu in s tem uniči vaše projekte in raziskave

Verjetno ni potrebno dosti razmišljati, da bi videli še vse ostale posledice, ki jih program, ki ima tako velik dostop do vašega sistema, lahko povzroči.

Kaj se skriva v drobnem tisku?

Ob nameščanju različnih programov jih večina prikaže uporabniško pogodbo kot del namestitvenega procesa. Te pogodbe ste verjetno brali že tisočkrat in verjetno kliknete “OK” in nadaljujete, ne da bi pogodbe podrobno preučili. Na žalost pa s klikom na OK potrjujete, da ste pogodbo prebrali in da se strinjate z njenimi pogoji. Veliko novejših programov, zlasti brezplačnih, ima zelo zanimive pogoje, ki bi jih morali prebrati in preučiti preden nadaljujete z namestitvijo. Preberite drobni tisk. Morda boste presenečeni nad tem, kar boste odkrili.

Kot primer si oglejmo izseke iz pogodbe za program KaZaA:

“We may add, delete or change some or all of the software�s functionality provided in connection with KaZaA at any time.”

(“Kadarkoli lahko delno ali popolnoma dodamo, izbrišemo ali spremenimo funkcionalnost programov v povezavi s KaZaA-jem.”)

Bodite pozorni na to, da lahko spremenijo funkcionalnost KaZaA-ja z dodajanjem novih možnosti praktično kadarkoli. Nihče vas ne bo vprašal, ali to spremembo želite. V bistvu naslednji odstavek pove, da to lahko storijo avtomatsko.

“You acknowledge that KaZaA or parties appointed by KaZaA may from time to time provide programming fixes, updates and upgrades to you, including automatic updates to the KaZaA Media Desktop, through electronic dissemination and other means. You consent to such automatic updates and agree that the terms and conditions of this Agreement will apply to all such updates.”

(“Strinjate se, da vam KaZaA ali njegovi pooblaščenci od časa do časa omogočijo popravke, posodobitve ter nadgradnje programov, vključno z avtomatskimi posodobitvami KaZaA Media Desktop-a preko elektronskih distribucij in drugih virov. Sprejemate avtomatske posodobitve in se strinjate da bodo pogoji tega dogovora veljali za vse takšne posodobitve”.)

Nova lastnost programa bi lahko bila omogočanje polnega dostopa do vaših datotek na primer oglaševalski agenciji, konkurenci ali tujemu agentu. Morda si mislite, da ostali deli pogodbe definirajo, kaj program lahko in kaj ne sme narediti, vendar razmislite o sledečem odstavku.

“KaZaA reserves the right to change or modify any of the terms and conditions of this license and any of the policies governing the Software at any time in its sole discretion without direct notice to you. Your continued use of the software following these changes will constitute your acceptance of such terms.”

(“KaZaA si pridržuje pravico, da lahko spremeni ali prilagodi katerekoli pogoje v tej pogodbi in kadarkoli spremeni vse dele pogodbe v zvezi s programom po lastni presoji, ne da bi vas o tem obvestil. Vaše nadaljnje uporabljanje teh programov vsled spremembam bo pomenilo, da se s pogoji strinjate.”)

Strinjate se, da KaZaA spremeni pogoje kadarkoli v karkoli hoče in vas o tem ni primoran obvestiti. Z nadaljnjo uporabo programa, ko se pogodba spremeni, se strinjate s spremembami, kljub temu, da ne veste, da so se spremembe sploh pojavile. Ponovno opozarjamo, da lahko z vašim sistemom naredijo karkoli in vi se s tem strinjate.

Kadar namestite KaZaA, mu je priključenih kar nekaj drugih programskih paketov. V bistvu se je KaZaA zaradi svoje priljubljenosti prodal oglaševalskim agencijam in sicer kot sredstvo, s katerim njihove programe spravi na uporabniške računalnike. Če želite, da dodatni programi ne bodo nameščeni, morate pri njih izrecno izbrati, naj se ne namestijo.

Pogovorno okno, ki prikazuje izbor programov za namestitev
Izberite programe, za katere ne želite, da se namestijo

b3d Projector – Program Brilliant Digitala za prikaz 3-D slik

Medialoads – Program za prenašanje drugih medijskih programov

New.net – Pripomoček za brskalnik, kateri omogoča dostop do domen kot so .mp3, .sport itn.

SAVENOW – Dodatek za odlične nakupovalne ponudbe

V primeru, da KaZaA odstranite, pa se bosta odstranila samo KaZaA in b3d Projektor, vse ostale programe morate odstraniti posebej.

Posebno zanimiva je pogodba Brilliand Digital Entertainment-a. Pogodba navaja:

“BDE Reserves the right to change or modify any of the terms and conditions of this agreement and any of the policies governing the services at any time in its sole discretion. Your continued use of the software following BDE�s changes will constitute your acceptance of such changes.”

(“BDE si pridržuje pravico, da spremeni katerikoli člen te pogodbe in vsa pravila glede storitev kadarkoli in po lastni presoji. Vaša nadaljnja uporaba po BDE-jevih spremembah bo sprejeta kot vaše strinjanje in sprejetje takšnih sprememb.”)

Torej lahko spremenijo pogodbo kadarkoli hočejo. In sledeči odstavek,

“You hereby grant BDE the right to access and use the unused computing power and storage space on your computer/s an /or internet access or bandwidth for the aggregation of content and use in distributed computing. The user acknowledges and authorized this use without the right of compensation.”

(“BDE-ju dajete pravico do dostopa in uporabe prostega pomnilnika in računalniške moči na vašem računalniku/kih, dostop do interneta ali pasovne širine za agregacijo vsebine in porazdeljeno uporabo računalnikov. Uporabnik to sprejema in omogoča brez pravice po kakršnem koli povračilu.”)

Kar pomeni, da lahko vaš računalnik uporabljajo brezplačno. Eden zanimivejših delov je del, kjer je govora o prenehanju uporabe. Odstavek načeloma pove, da lahko katerakoli stran kadarkoli prekine pogodbo in če jo, morate takoj umakniti oziroma uničiti program. Na koncu odstavka je dodana še sledeča vrstica.

“The following Sections shall survive any termination of this Agreement: 2, 3, 4, 5, 6, 7, 8, 9, and 10.”

(“Prenehanje pogodbe ne velja za sledeče razdelke pogodbe: 2, 3, 4, 5, 6, 7, 8, 9 in 10.”)

Pozorni bodite na to, da je v pogodbi samo 10 razdelkov, kjer vam je v razdelku 1 dana pravica do uporabe programa. Vsi ostali razdelki, vključno s pravico BDE-ja, da uporablja vaš računalnik tudi po prekinitvi pogodbe še vedno veljajo.

Torej za kaj bi BDE uporabil vaše računalnike? BDE je v poročilu za Securities and Exchange Commission predstavil svoje načrte.

“In February 2002, we formed Brilliant P2P, Inc., later renamed Altnet, Inc., to create a private, secure, peer-to-peer network utilizing existing, proven technology to leverage the processing, storage and distribution power of a peer-to-peer network comprised of tens of millions of users……To develop the Altnet private peer-to-peer network, each computer that comprises the network must be equipped with a software program. To distribute the program, we bundled it in a package, that we call ALTNET SECUREINSTALL, with our Digital Projector. Pursuant to an agreement with Sharman Networks, SecureInstall, along with the Digital Projector, is being downloaded as part of Sharman Networks KaZaA Media Desktop…..To maximize the efficiency of the Altnet network, selected users with higher than average processing power, significant free space on their hard drives and broadband connectivity to the Internet, will first be engaged by Altnet to become main hubs on the network. We refer to each of these hubs as a qualified PC, or QPC. We intend to enter into an end user agreement with the owner of each QPC pursuant to which we will compensate the owner for access to and use of their computers while logged onto the Internet……..We intend to market Altnet’s peer-to-peer services in three main areas: Network Services, Distributed Storage and Distributed Processing.”

(“V februarju 2002 smo ustanovili podjetje Brilliant P2P, Inc., kasneje preimenovano v Altnet, Inc., z namenom narediti zasebna, varna, “peer-to-peer” omrežja, ki bodo uporabljala obstoječo, dokazano tehnologijo, ki bo izkoristila procesorsko, shranjevalno in porazdeljevalno moč peer-to-peer omrežja vsebujoč več milijonov uporabnikov. Za razvoj Altnet-ovega zasebnega omrežja mora imeti vsak računalnik, ki je del omrežja, nameščen določen program. Program smo distribuirali tako, da smo ga pripeli paketu imenovanem ALTNET SECUREINSTALL, vključno s programom Digital Projector. Po dogovoru z Sherman Networks je SecureInstall, skupaj z Digital Projector-jem prenesen kot del Sherman Networks-ovega KaZaA Media Desktrop-a… Da bi maksimizirali učinkovitost Altnet-ovega omrežja bodo izbrani uporabniki z višjimi procesorskimi sposobnostmi, z veliko prostega prostora in široko povezavo v internet postali prvi vključeni v Altnet-ovo omrežje in sicer kot vozlišča omrežja. Vsakega od teh vozlišč imenujemo kvalitetni PC oziroma QPC. Načrtujemo pogodbe z lastniki QPC-jev, katerim bomo povrnili uporabo njihovih računalnikov, ko bodo priključeni na internet… Altnet-ove peer-to-peer storitve bomo tržili na treh glavnih področjih: omrežne storitve, porazdeljeno hranjenje podatkov in porazdeljeno procesiranje.”)

Kaj bodo torej naredili z vašo procesorsko močjo in prostim prostorom? Prodali jo bodo drugim podjetjem. Še posebej merijo na oglaševalska podjetja, katerim bi omogočili prostor za shranjevanje oglasov, katere bodo nato razpošiljali drugim sistemom. Medtem ko pravijo, da bodo lastnikom računalnikov povrnili uporabo njihovih sistemov, ne povedo, kako mislijo to uporabo povrniti. Poleg tega jim po uporabniški pogodbi ni potrebno povrniti ničesar. Pozorni bodite na to, da je AltNet-ov program vključen v namestitev b2b Projector-ja, nikjer pa ne piše za kaj se ga uporablja in kako ga mislijo kasneje uporabiti.

FriendGreet črv

Adware program FriendGreetings je dosegel tak nivo, da ga nekateri antivirusni programi zaznajo že kot črva. Program deluje tako, da vas obvesti, da ste sprejeli čestitko s povezavo na stran FriendGreetings.com, kjer čestitko lahko prevzamete. Na tej strani vam sporočijo, da morate namestiti Active-X nadzornika, da bi čestitko lahko videli. Kot del namestitve se morate strinjati s pogoji Active-X nadzornika. Globoko v uporabniški pogodbi se skrivajo vrstice, ki pravijo, da se strinjate s tem, da nadzornik pošlje čestitko vsakem, ki so v vašem Outlook imeniku. Kljub temu, da ima program vse lastnosti črvov, pa ste ga namerno namestili in se strinjali, da se razpošlje vsem vašim prijateljem.

Odkrivanje parazitnih programov

Odkrivanje parazitnih programov ni lahko, saj se skrivajo na nenavadnih lokacijah in za zagon prilepijo na navidezno nedolžne programe. Naj opozorimo, da nekateri brezplačni programi ne bodo delovali, če so onemogočene njihove oglaševalne komponente. Nekateri parazitni programi uporabijo Web3000 paket, s katerim nadomestijo wsock32.dll. Zato morajo biti ti paketi previdno odstranjeni, saj moramo wsock32.dll pravilno restavrirati. V nadaljevanju si lahko ogledate nekaj primerov odkrivanja in odstranjevanja parazitov.

Nastavitve Internet Explorer-ja

Prvo, kar morate narediti je, da parazitnim programom onemogočite dostop do svojega sistema. Nekateri izmed teh programov se namestijo s posebnim programom, ki ga morate zagnati, drugi pa se namestijo avtomatsko, ko dostopate do neke vsebine na spletni strani. Na primer, ko dostopate do animacije Brilliant Digitala na neki spletni strani, se vam b3d Projector avtomatsko namesti skupaj s komponentami za njegovo avtomatsko posodobitev. Da pa boste imeli možnost namestitev preprečiti, morate v programu Internet Explorer (5.5 ali 6.0) narediti sledeče:

  1. Odprite Internet Explorer ter izberite “Tools”, “Internet Options”, “Security tab”
  2. Izberite območje “Internet” in kliknite “Custom” gumb
  3. Prepričajte se, da so možnosti “Downlaod signed ActiveX control”, in “Download unsigned ActiveX control” nastavljene na “Prompt” ali pa “Disable” in nato dvakrat kliknite OK.

Če ste izbrali “Prompt” boste morali vsako namestitev dovoliti. Če nameščanje dovolite, bodite prepričani, kaj sploh nameščate.

AdAware

AdAware je program podjetja Lavasoft (www.lavasoft.de). Tu govorimo o dveh programih: AdAware za odkrivanje in odstranjevanje parazitov in “RefUpdate” za avtomatsko nalaganje in posodabljanje seznama znanih parazitov. AdAware je brezplačen za neprofitne uporabnike. Lavasoft ga razdaja v upanju, da boste kupil “Plus” verzijo, ki omogoča odkrivanje parazitov v realnem času.

AdAware deluje podobno kot večina antivirusnih programov, saj vsebuje seznam znanih spyware in adware programov. Seznam uporablja za odkrivanje in odstranjevanje parazitnih programov. Poleg tega odstranjene parazite tudi shrani, da jih lahko ponovno restavrirate, če se je kaj pokvarilo ob odstranjevanju. Ker razvoj novih adware in spyware programov poteka neprestano, so redne posodobitve seznama nujne. Sezname bo namesto vas avtomatsko posodobil program RefUpdate.

Spybot Search and Destroy (SSD)

Spybot Search and Destroy” (SSD) so razvili v PepiMK Software in je trenutno v fazi beta testiranja. Podoben je AdAware, saj uporablja seznam, s katerim odkrije parazitne programe. Seznam znanih parazitov je kot kaže vgrajen in se ga ne da posodobiti, ne da bi posodobili celotni program. SSD lahko vstavi tudi navidezne spyware in adware programe in sicer zato, da bodo programi, ki sicer ne delujejo brez oglaševalnega dela, pravilno delovali. Ne pozabite, da licenčne pogodbe nekaterih programov zahtevajo, da se reklame predvajajo ali pa programa ne smete uporabljati.

BHOCop

“BHOCop” je pripomoček za odstranjevanje Browser Helper Objects (BHO). Program distribuira PC Magazine, naložite pa si ga lahko z Download.com (downlaod.com.com). Program BHO-je odkrije tako, da pregleda ključe v MS Windows registru. Nato jih onemogoči, ne da bi jih dejansko izbrisal, saj je dovolj, da izbriše ključe BHO-jev v registru. BHO-je restavriramo z restavracijo ključev, ki so shranjeni v varnostni datoteki. BHOCop se lahko zažene že ob zagonu sistema in tako znova odstrani vse BHO-je, ki so se znova avtomatsko namestili iz drugih virov.

Sysdiff

Sysdiff je del Windows 2000 Resource paketa. Narejen je za odkrivanje sprememb sistemskih nastavitev z namenom, da ob namestitvi novega programa odkrijemo katere datoteke so dodane, izbrisane, spremenjene in kakšne spremembe so se zgodile v registrih. Program poženete pred namestitvijo in po namestitvi programa, katerega vpliv na vaš sistem želite odkriti. Postopek je zahtevnejši od uporabe preprostih iskalnikov, vendar pa boste lahko z njim spremljali vse spremembe, ki jih je nek program naredil na vašem sistemu.

Najprej na svoj računalnik prenesite datoteki “sysdiff.exe” in “sysdiff.inf”. Slednja je ponavadi na distribucijski zgoščenki operacijskega sistema in ne v Resource paketu. Sysdiff.ini je na voljo tudi na

http://www.microsoft.com/technet/prodtechnol/winntas/deploy/advsysdf.asp

Datoteka sysdiff.ini vam omogoči, da programu sysdiff preprečite pregledovanje določenih datotek in map. Po tem, ko sta obe datoteki nameščeni, počenete program z ukazom,

sysdiff /snap baseline

S tem ukazom ste posneli stanje vašega sistema in ga shranili v datoteko “baseline”.

Ko ste program, katerega želite preveriti namestili, znova poženite program sysdiff s sledečimi parametri,

sysdiff /dump diffs diffs.txt

Kar bo spremembe zapisalo v datoteko “diffs.txt”.

Sysdiff preverja tri vrste sprememb in sicer dodajanje in brisanje datotek, spremembe v sistemskih datotekah (“system.ini”, “win.ini”), in spremembe registrov. Spremembe s teh treh področij so ločeno zapisane v izhodni datoteki.

Oh

Oh je prav tako del Windows 2000 Resource kit-a. Poženete ga enkrat in nato ponovno zaženete računalnik. Ko ga znova zaženete, vam izpiše listo vseh odprtih objektov. Z uporabo “-t File” opcije vam izpiše vse datoteke, ki jih je odprl določen proces. Ta seznam vam torej pove, kateri programi so pognani in katere datoteke imajo ti programi odprte. Zlasti zanimivi so programi, ki imajo poleg Internet Explorer-ja odprte datoteke kot so na primer History, Temporary Internet Files in Cookies direktorije.

Za uporabo tega programa prenesite “oh.exe” na vaš sistem, ga enkrat poženite in znova zaženite računalnik. Oh vam namesti storitev, ki nadzoruje vse odprte objekte v vašem sistemu. Če želite videti, katere datoteke so trenutno odprte izvedete sledeči ukaz.

oh -t File -o izhodna_datoteka.txt

Ta ukaz pregleda vse odprte datotečne objekte in zapiše izhod v izhodna_datoteka.txt. Za pregled ostalih odprtih objektov poglejte datoteko s pomočjo.

Odstranjevanje parazitnih programov

Odstranjevanje takšnih programov je odvisno od programa samega in lahko vključuje tako odstranjevanje programa, kot ključev v registru.V nekaterih primerih odstranjevanje programa, ki vam je namestil parazita odstrani tudi parazitni program, v nekaterih pa ne. Najlažje je, če uporabimo “Add or Remove Programs” na nadzorni plošči, za odkritje programov, ki bi lahko na sistemu ostali pa uporabimo program, kot je na primer AdAware.

Na primer odstranjevanje programa KaZaA z uporabo Add or Remove Programs ne odstrani

  • Media Loads
  • Media Loads Installer
  • New.Net Domains
  • Save Now

Vsakega izmed teh programov moramo ročno odstraniti z uporabo “Add or Remove Programs” na nadzorni plošči. Ne odstranijo se tudi nekateri ključi programa BDE Player. Ker ti ključi ne naredijo po odstranitvi predvajalnika ničesar, jih lahko odstranimo s programom, kot je AdAware.

Sklepi

Programi tipa adware, spyware in prikrita omrežja zaradi svojega neznanega delovanja in visoke ravni zlorabe nikakor ne smejo biti dovoljeni v podjetjih ali vladnih ustanovah. Zelo verjetno je, da bo v prihodnosti odkrivanje in odstranjevanje parazitnih programov postalo, tako kot je danes odkrivanje virusov, prava industrija. Razumno bi bilo, da bi začela podjetja, ki se ukvarjajo z antivirusnimi programi v svojo ponudbo dodajati tudi odkrivanje parazitnih programov in njihovo odstranjevanje.


Copyright © 2002 U.S. Government

The work on this document was performed under auspices of University of California, Lawrence Livermore National Laboratory, and U.S. Department of Energy.

Credit goes also the U.S. Department of Energy’s Computer Incident Advisory Capability (CIAC).

Slovenski prevod je delo ARNES-a.


Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več