Stanescu Serban - Protectia PC

Protecţia calculatorului – Viruşi, Trojan, etc.
Pagina 1 din 16
© Stănescu Şerban, 2007-2008. Versiunea 0.0.0.5 / 01.09.2008
Această versiune se distribuie exclusiv pe situl “www.ro.serbans.com” Cuprins
PROTECŢIA CALCULATORULUI
Stănescu Şerban
2007
Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 1

Protecţia calculatorului – Viruşi, Trojan, etc. Pagina 2 din 16
Bun găsit!
Numele meu este Stănescu Şerban,
sserbanro@gmail.com
http://www.ro.serbans.com/
Materialul, din aceasă versiune este întocmit pe baza unei versiuni realizate
iniţial pentru uz personal. După ce am distribuit-o unui cerc restrâns de apropiaţi,
am constatat că am atins o zonă mai mult decât “fierbinte”: de-a dreptul una
explozivă.
Ieri, (17 mai 2007) am fost rugat să verific calculatorul unor apropiaţi ai mei şi
am descoperit “worm2007.exe”. Cu acest gunoi, m-am întâlnit în ultima săptămână
pe vreo 3 calculatoare. Se pare că este ceva destul de periculos, aşa încât mă văd
nevoit să actualizez versiunea iniţială a cărţii şi să îi dau o mai bună organizare.
Acest lucru se va petrece de acum încolo, ori de câte ori voi avea
suficient timp şi desigur informaţii verificate.
Sper să vă fie de folos în menţinerea PC-ului în stare de bună
funcţionare.
Versiunea documentului, se găseşte în header-ul (caseta de sus, galbenă)
paginii.
Îi Rog pe toţi cei care au descărcat acest eBook şi au întâlnit şi alte probleme
similare să-mi scrie pe adresa de mail de mai sus, completând la subiect "eBook
Protectia PC". De asemeni, vă rog să-mi scrieţi ce părere aveţi despre proiectul
despre care am anunţat mai jos.
Dacă veţi folosi legătura de mai sus din document, e suficient să scrieţi textul
mesajului. Dacă veţi folosi mail HTML, vă rog completaţi la subiect "eBook
Protectia PC" pentru ca eu să pot identifica mailurile venite pe această temă.
AVERTISMENT
Doresc să atenţionez pe toţi cititorii că materialul de faţă nu este
scris de un expert în probleme de anti-cracking şi protecţie a
calculatorului împotriva diferitelor forme de atacuri, prin metode sofisticate de
preluarea controlului neautorizat asupra unui calculator, de către profesionişti
rău intenţionaţi şi persoane care se ocupă cu furtul de date.
Materialul cuprins în acest eBook, reprezintă o parte din rezultatele muncii
mele, ale practicii acumulate de mine în cei 13 ani de când lucrez cu calculatorul,
deci, altfel spus, experienţa mea în utilizarea şi administratea calculatoarelor
compatibile IBM-PC şi exprimă modul în care înţeleg eu să îmi protejez
calculatoarele şi rezultatele muncii cu calculatorul (materialele, datele,
informaţiile stocate în format digital).
Prin urmare, dacă vă confruntaţi cu probleme grave în domeniu,
solicitaţi consiliere din partea unei firme specializate în recuperare de
date şi protecţie anti-cracking.

Vă mulţumesc!
CUPRINS:
CONDUITA PREVENTIVĂ Recomandări. Ce fac şi ce mă feresc să fac eu
4
pe calculatoarele mele.
CAZUISTICĂ Situaţii detectate: Fişiere dubioase şi alerte cu
privire la viruşi/troieni (Trojan) /BackDoor/ 6
Worm şi alte MalWare (Malicious SoftWare)
PROIECT O propunere de proiect legat de problematica 9
tratată în această carte, cu privire la care
sunteţi rugaţi să vă spuneţi părerea.
SOFTWARE Programe gratuite cu care puteţi realiza 11
întreţinerea calculatorului şi operaţiile de bază
în protejarea acestuia şi a datelor importante.
BIBLIOGRAFIE Câteva resurse de pe internet foarte 12
importante în înţelegerea problematicii
protecţiei calculatorului.
CONTACT AUTOR Siturile mele şi datele de contact. 13
–
.
.
.
.
.

CONDUITA PREVENTIVĂ
Ce FAC şi ce MĂ FERESC SĂ FAC eu pe calculatoarele mele.
În acest capitol, vă voi spune ce fac şi ce mă feresc să fac pe

calculatoarele mele.
Nmă feresc să dau sfaturi oricui, pentru că în zilele noastre, toată
lumea le ştie pe toate şi toată lumea se pricepe să dea sfaturi în orice
problemă: politică, auto, fotbal, economie, femei, afaceri, etc. Eu am altfel de
pretenţii: pretind de la mine. Vă spun doar ce fac eu. Dumneavoastră,
aveţi libertatea să faceţi cum credeţi că e mai bine.
Mă strădui să aplic o zicere care îmi place foarte mult:
Lasă sfaturile!
Dă SOLUŢII.
Proştii, ignoră SFATURILE
iar
deştepţii, se lipsesc de ele.
Cuprins Conduita preventivă Cazuistică Proiect

Software Bibliografie Contact autor

Ce REFUZ EU SĂ FAC:
✗ Evit să fac clic pe URL-urile care despre care am prea puţine informaţii,
nesolicitate de mine, sau obţinute altfel decât ca rezultat al unei căutări cu
un motor de căutare cu care au mai lucrat şi alţii şi pe care îl cunosc bine;
✗ Evit să deschid e-mailurile primite de la necunoscuţi;
✗ Evit să caut situri warez şi jocuri de pe situri administrate de persoane
dubioase;
✗ Evit să introduc în unităţile de disc, discuri de la persoane străine; o fac
doar dacă sunt constrâns şi doar dacă am instalat un antivirus care îmi
protejează aceste unităţi;
✗ Evit să mă grăbesc să descarc poze şi alte “cadouri” de la necunoscuţi;
✗ Evit să mă joc “de-a calculatoarele”, umblând acolo unde am prea puţine
cunoştinţe şi experienţă pentru a o face;
✗ Evit să mă joc de-a “uite-ce-frumos-se-târăşte-(dragging)-mouse-ul-pe-
desktop-de-colo-colo”
✗ Mă fersc să fac instalări-dezinstalări de sute de programe şi progrămele
despre care “am auzit eu că sunt super, cool, beton”;
✗ Evit să am curiozităţi maligne. Prefer să merg pe principiul “totul se învaţă
şi e exclus să le ştie cineva pe toate”. Chiar dacă e mai puţin glorioasă
ideea, este eficientă.
✗ Evit să folosesc o singură partiţie (c:\), aceeaşi pentru sistemul de operare
şi pentru datele mele; Datele sunt obligatoriu pe o altă partiţie, de
obicei, (d:\);


Ce FAC eu:
✗ Imediat după instalarea sistemului de operare, dezactivez opţiunea “Hide
file extensions for known file types”, aşa cum se poate vedea din
imaginea de alături. Şi asta, deoarece rămânâd aşa, pot să umplu
calculatorul de un virus care se cheamă de exemplu “Andreea Marin.exe”.
Cei mai mulţi se vor repezi “să vadă” ce poză cu populara noastră vedetă au
descoperit. După ce descoperă că e altceva decât o poză, e prea târziu.
Sau, chiar mai rău, poate
să fie şi o poză, şi
altceva...
✗ Instalez actualizările,
cunoscute sub denumirea
“Service Pack”;
✗ Instalez un Antivirus,
care are module
rezidente în memoria
RAM, destinate
supravegherii sistemului.
Eu folosesc
AVG Free Antivirus.
Mai este însă şi
AVAST Home,
despre care am auzit de
bine. Încă nu l-am testat.
✗ Instalez un
RegistryCleaner. Eu
folosesc RegCleaner al lui
Jouni Vorio;
✗ Instalez un Malware
Cleaner. Eu folosesc CrapCleaner.
✗ După ce mi-am instalat toate programele cu care lucrez, fac o
defragmentare, apoi un backup al partiţiei sistemului de operare.
Pentru aceasta, folosesc “SavePart” al lui Damien Gibouret.
✗ Atunci când sunt curios şi îmi lipsesc cunoştinţele şi practica, întreb. Cu
ceva răbdare, poate fi găsit un forum de discuţii care să fi abordat subiectul.


CAZUISTICĂ
Generic4.KOG. J, 17 mai 2007.
Worm2007.exe (WORM_SOHANAD.AL). V, 18 mai 2007
Packed.Win32.PolyCrypt.b
1. Generic4.KOG. J, 17 mai 2007.

Atenţie la următoarele fişiere şi următorul Trojan:

Trojan detectat cu AVG Free Antivirus:
Generic4.KOG
Fişiere infectate/purtătoare: "BreakoutGame.exe"; "album.exe";
"princess.exe"
Rezultate scanare:
Versiunea Free AVG:
Nu am idee cum au ajuns fişierele pe PC-ul meu. Ştiu doar că la un

moment dat, am folosit Yahoo Messenger şi am primit nişte URL-uri de la
cineva apropiat (familie). Când am studiat "cadoul", îmi aduc aminte că am
descoperit că e un vierme (Trojan?) theccoolpics.net.
URL-ul care este transmis, are forma generală:
http://thecoolpics.net/
Variante de fişiere:
http://thecoolpics.net/hot.jpg; http://thecoolpics.net/mypics.jpg
URL-ul este transmis de un script destinat Yahoo Messenger şi care
trimite tuturor celor din lista utilizatorului activ acest URL. Când cineva face clic
pe URL, scriptul ascuns în spatele lui, transmite în noua listă atât viermele cât
şi acest URL. Numele fişierului, poate diferi. După efectuarea clic, are loc o
redirectare pe situl:
http://ns1.hosting101.biz/~metalurg/images/template/index.php
Descrierea viermelui, este la:

arunmvishnu.blogspot.com/2006/11/removing-thecoolpicsnet-worm.html
Scriptul de devirusare despre care se vorbeste (W32Sohanad.vbs), nu
mai este disponibil, dar Free AVG Antivirus a curăţat viermele fără
probleme.
Am făcut curăţenie inclusiv în regiştrii Windows (Win 2000) şi cache-ul
browserului internet şi după cât se pare, acea problemă (coolpics.net), nu a
reapărut. E posibil ca tot atunci să fi avut loc şi un download în fundal,
nesolicitat. Eu nu descarc jocuri de pe net şi nici nu joc jocuri pe net, deci,
ATENŢIE la fişierele nesolicitate!!!

Pe de altă parte, ca bonus la unele cursuri (eCourse) pe care le urmez pe
Internet, primesc uneori cărţi gratuite. Unele, sunt în format .exe. Posibil ca

un tracking-script să mă fi "prins" stând mai mult pe un sit şi să-mi fi

"plasat" şi el un "cadou". Altă explicaţie, nu prea am.
Oricum problema s-a rezolvat înainte de infectarea masivă.
Ca orientare, petrec pe Internet undeva între 4 şi 18 ore zilnic. Spun
asta pentru cei care vor o imagine a ceea ce se poate petrece în astfel de
condiţii, dacă nu îmi verific PC-ul la timp şi serios.
Sper să nu luaţi în glumă aceste ameninţări numite „Trojan” sau
„Worm”. Ele au un potenţial distructiv ridicat.
Reinstalarea a peste 2.500 MB software cum este cazul la mine, plus
configurările durează peste 18 ore! Nu îmi pot permite luxul să pierd timpul
acesta din nici o cauză, fie ea şi un virus...

2. Worm2007.exe (WORM_SOHANAD.AL).
V, 18 mai 2007

Este vorba despre un vierme. Se pare că acţiunea “worm_sohanad.al”

este destul de agresivă. L-am depistat în locuri critice. E drept, nu a apucat să
facă nimic, dar din informaţiile despre el,
http://www.techspot.com/vb/all/windows/t-76380-vbasd--svchost32exe-and-worm2007exe-
problem.html
http://answers.yahoo.com/question/index?qid=20070417220724AAjiSYl
şi din ceea ce ştiu eu, poate face pagube destul de mari. Pe lângă aceasta,
dezactivarea unor funcţii extrem importante ale sistemului de operare, poate
face inutil calculatorul pentru un începător.
Primul pas şi cel mai comod: Folosiţi un antivirus. Eu folosesc AVG Free
Antivirus. Acest antivirus elimină fişierele “worm2007.exe”, chiar daca au
nume uşor diferite (“worm2007a.exe”, “worm2007[1].exe”, etc.)
Iată şi un posibil remediu, pentru cazul în care antivirusul nu rezolvă în
totalitate problema:
Reactivarea Windows Task Manager, Registry Editor, şi a opţiunii Run
Acest malware dezactivează Windows Task Manager, Registry Editor, şi

opţiunea Run din meniul Start Menu. Pentru a reactiva aceste unelte şi
opţiuni, parcurgeţi următoarele etape:
Deschideţi un editor de texte, cum ar fi Notepad.
Copy + Paste următoarea porţiune de cod, (cea scrisă cu altfel de caractere):

--------------------
On Error Resume Next
Set shl = CreateObject("WScript.Shell")
Set fso = CreateObject("scripting.FileSystemObject")
shl.RegDelete
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Di
sableRegistryTools"
shl.RegDelete
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Di
sableTaskMgr"
shl.RegDelete
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoRun"

Salvaţi acest fişier cu numele (să spunem) “stergeworm.vbs”;

Executaţi (rulaţi) fişierul “stergeworm.vbs”;
Alegeţi Yes la fereastra (message box) care apare;
Apăsaţi (Clic) butonul OK.
Nu voi intra în detalii de programare, dar scriptul de mai sus şterge acele chei
din regiştrii Windows, care împiedică funcţionarea Windows Explorer, a
TaskManager şi Uneltelor pentru Regiştrii (RegEdit)

3. Packed.Win32.PolyCrypt.b
Denumiri alternative:
Packed.Win32.PolyCrypt.b (Kaspersky Lab) este cunoscut de asemeni

ca fiind: MultiDropper-OR (McAfee), Trojan.MulDrop.2726 (Doctor Web),

WORM_RBOT.GEN (Trend Micro), Win32:Delf-AGZ (ALWIL), Win32/PEPatch
(Grisoft), Trojan.NTPacker (SOFTWIN), Win32/TrojanDropper.ErPack (Eset)
Informaţii:
http://www.viruslist.com/en/viruses/encyclopedia?virusid=156717
La adresa de mai sus, este specificat că nu se cunosc date despre acest
potenţial virus.
Mai jos sunt informaţii privind posibilele pericole. Fiind un sit securizat,
înclin să cred că există totuşi un potenţial risc, altfel, ce rost avea listarea aici?
http://research.sunbelt-software.com/threatdisplay.aspx?
name=Packed.Win32.PolyCrypt.b&threatid=136894
La această adresă, sunt mai multe mesaje de pe un forum. Din
aceste mesaje, rezultă că poate fi o alarmă falsă.
https://answers.launchpad.net/ubuntu/+question/11199

PROIECT
La momentul când scriu acest material, nu am prea mult timp la
dispoziţie, dar, pe cei interesaţi, îi anunţ că mi-am propus să realizez un mini-
e-curs, în care să prezint o parte din experienţa mea legată de modul în care

se pot evita problemele de acest gen, noţiuni de bază privind administrarea

unui PC, realizarea unui kit backup-restore, ce înseamnă un backup şi
de ce este acesta mai bun decât altă soluţie, etc.
Voi scrie şi o e-carte (eBook), cu mai multe detalii dar deocamdată,
acesta este un proiect de viitor. Cel mai curând voi putea începe lucrul la acest
proiect după 20 iunie 2007.
Voi posta însă informaţii pe blogul meu:

http://serbanstanescu.weblog.ro/
Funcţie de interesul manifestat faţă de acest proiect, e posibil să realizăm
şi un blog dedicat, să creăm o adresă de mail dedicată.
Deocamdată însă, aştept informaţii, propuneri, sugestii.

SOFTWARE
În acest capitol, am listat siturile de unde pot fi luate câteva programe pe
care eu le folosesc de ceva vreme şi datorită cărora nu am probleme cu
calculatoarele, din punctul de vedere prezentat în acest material şi respectiv

programe despre care am aflat şi le folosesc alţi cunoscuţi ai mei.
AVG Free Antivirus:

http://free.grisoft.com/freeweb.php/doc/2/lng/us/tpl/v5
AVG Anti-Rootkit Free:
http://free.grisoft.com/freeweb.php/doc/39798/lng/us/tpl/v5
Hijackthis:
http://www.majorgeeks.com/download5554.html
CrapCleaner:
http://www.filehippo.com/download_ccleaner/
SavePart:
http://www.partition-saving.com/


BIBLIOGRAFIE
Rootkit
http://en.wikipedia.org/wiki/Rootkit
Curăţarea versus Reformatarea PC-ului:
http://www.techspot.com/vb/topic65943.html
http://www.techspot.com/vb/topic58138.html
Malware Removal:
http://wiki.castlecops.com/Malware_Removal:_Temporarily_Disable_
Real_Time_Monitoring_Programs


CONTACT AUTOR
serban@serbans.com
sserbanro@gmail.com
sserbanro@yahoo.com
SC Media Factory SRL Alexandria

Tel: 0722-941-118; 0766-276-842
www.ro.serbans.com
www.mediafctory.com
www.mysitereview.ro
www.negative-audio.eu
office@mediafctory.com
Profil public:
www.linkedin.com/in/serbanstanescu
Program gratuit pentru evidenţa CD/DVD:
www.free.cdman.go.ro
Carte de oaspeti:
www.ro.serbans.com/guest/
pub35.bravenet.com/guestbook/2936828246
Blog RO:
serbanstanescu.weblog.ro/
(Afaceri)
http://mediaf.weblog.ro/
eturtle06.bravejournal.com/
Blog EN:
wanttomakemoney-serban.blogspot.com/
Literatura:
www.poezie.ro/index.php/author/0019831/index.html
www.cenaclu.inforapart.ro/?rp=texe&Cod_autor=317
www.europeea.ro/atelierliterar/index.php?afiseaza_texte_autor=456
Muzica:
www.ro.serbans.com/audio-cd-mp3.html
Succes şi pe curând!
Cu stimă şi prietenie, Şerban Stănescu.


Stanescu Serban - Protectia PC

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Stanescu Serban - Protectia PC

Uploaded by

Copyright:

Available Formats

Protecţia calculatorului – Viruşi, Trojan, etc.

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 1

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 2

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 3

În acest capitol, vă voi spune ce fac şi ce mă feresc să fac pe

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 4

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 5

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 6

1. Generic4.KOG. J, 17 mai 2007.

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 7

Atenţie la următoarele fişiere şi următorul Trojan:

Versiunea Free AVG:

Nu am idee cum au ajuns fişierele pe PC-ul meu. Ştiu doar că la un

Descrierea viermelui, este la:

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 8

un tracking-script să mă fi "prins" stând mai mult pe un sit şi să-mi fi

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 9

Este vorba despre un vierme. Se pare că acţiunea “worm_sohanad.al”

Reactivarea Windows Task Manager, Registry Editor, şi a opţiunii Run

Acest malware dezactivează Windows Task Manager, Registry Editor, şi

Copy + Paste următoarea porţiune de cod, (cea scrisă cu altfel de caractere):

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 10

Salvaţi acest fişier cu numele (să spunem) “stergeworm.vbs”;

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 11

ca fiind: MultiDropper-OR (McAfee), Trojan.MulDrop.2726 (Doctor Web),

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 12

se pot evita problemele de acest gen, noţiuni de bază privind administrarea

Voi posta însă informaţii pe blogul meu:

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 13

programe despre care am aflat şi le folosesc alţi cunoscuţi ai mei.

AVG Free Antivirus:

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 14

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 15

SC Media Factory SRL Alexandria

Cu stimă şi prietenie, Şerban Stănescu.

Cuprins Conduita preventivă Cazuistică Proiect

Produs distribuit de S.C. Media Factory S.R.L. Alexandria Pagina 16

You might also like