Acum citeva zile a venit la mine un coleg cu o rugaminte ciudata: sa-l ajut sa bage un cod pe calculatorul la care lucra. Dupa spusele lui, FBI-ul l-a surprins facind "ceva nepermis" si i-a blocat calculatorul. Zic: dom'ne, ce dracu ai facut de si-a pus FBI-ul hackerii la bataie ca sa-ti blocheze calculatorul? In sinea mea intuisem despre ce era vorba: surfing-ul pe site-uri porno se soldeaza, adesea, cu agatzarea unui troian care, in citeva secunde, iti blocheaza browserul, functia "Alt+Tab" si procesele "Explorer" si "Task manager". Dar despre ce cod vorbea omul?
Cind am ajuns inaintea desktop-ului sau, m-am lamurit. "FBI"-ul cerea, fireste, bani pentru deblocarea calculatorului. Omul, ingrozit, inchisese monitorul si alergase la primul magazin "Seven-Eleven" (evident, in Romania nu se poate face asta, ceea ce te face mult mai circumspect in legatura cu natura problemei), de unde isi cumparase un card "Moneypak" pe care depusese banii ceruti, intentionind ulterior sa isi plateasca "amenda". La plata insa intimpinase o problema: codul nu se potrivea, dovada ca firma "Moneypak" fusese, probabil, avertizata de frauda facuta cu ajutorul ei, si isi retrasese suportul pentru astfel de actiuni. Omul aruncase insa banii in vint (de fapt ii restrictionase puternic, Moneypak-ul fiind o firma de plati online careia ii sint refuzate serviciile de marile magazine, ca atare mare lucru nu-ti poti cumpara cu banii pusi pe un asemenea card). In fine, calculatorul era, in continuare, blocat.
I-am explicat omului ca fie si in conditiile in care banii ar fi mers in buzunarele hacker-ului, calculatorul tot n-ar fi fost deblocat. Troianul, odata instalat, e de capul lui, si efectele sale ramin. In al doilea rind, daca FBI-ul are o problema cu tine, iti bate la usa, nu in ecranul monitorului. Ceea ce e, totusi, nenorocit, e faptul ca nu prea sint antivirusi care sa detecteze genul asta de porcarii. Probabil troienii sint mascati in "altceva" tolerabil, habar n-am. In fine, am luat desktop-ul acasa si i-am promis sa-l rezolv.
Rezolvarea gindita de mine (sa boot-ez cu un stick de Mini-Windows si sa sterg fizic troianul de unde si-a ales sa rezideze - si locatiile nu prea pot fi multe) ar fi mers 1. daca calculatorul n-ar fi avut Windows 7 cu parola de admin 2. daca n-ar fi avut partitie NTFS (pe FAT32 Mini-Windows-ul face minuni, chiar cu parola pe contul de Admin, cel putin pe Xin XP). Omul, fireste, nu cunostea parola de admin.
Inainte sa trebuiasca sa sterg, fizic, parola adminului, am decis sa incerc sa o aflu. Pentru asta am folosit utilitarul Ophcrack Live CD, in modul grafic (mai usor de utilizat). Din pacate aproape jumatate de ora mai tirziu parola era tot nedescoperita. Pierdere de vreme.
Alegem locatia folderului Windows/System32/Config. Daca cea indicata este corecta, apasam "Enter".
Tastam 1 (optiunea pentru password reset), Enter.
Sintem intrebati daca dorim sa editam numele si parola unui anume user, alegem optiunea 1 (tastam 1), Enter.
Tastam numele userului caruia dorim sa-i schimbam (stergem) parola. In cazul de fata, scriem Administrator, apoi dam Enter.
Daca dorim stergerea parolei, alegem optiunea 1 (apasam tasta 1), Enter
Sintem anuntati ca parola a fost stearsa. Iesim din meniu prin apasarea tastei !
Odata ce am iesit, reintram in meniul de baza, unde sintem intrebati din nou ce operatiuni mai dorim sa facem. Daca nu mai dorim sa schimbam sau sa stergem alte parole, pentru alti useri, apasam q (pentru quit)
Sintem intrebati daca vrem sa salvam schimbarile. Optiunea se salvare se face prin apasarea tastei y (de la yes). Tasta n va lasa totul nemodificat.
Dupa ce apasam y si salvam totul, putem restarta prin Ctrl+alt+del.
Odata ce avem acces la contul de admin, nimic mai simplu. Boot din Safe mode in contul de admin.
1. stim ca troianul, de regula cu un nume neinteligibil gen xyzsthyzkxz.exe, poate alege sa mearga intr-unul din urmatoarele directoare
C:\windows\system32 (in cele mai putine dintre cazuri)
C:\Documents and Settings\USERNAME\Local Settings\Temp
C:\Documents and Settings\USERNAME\Application Data
C:\Users\USERNAME (unde C:\users e alternativa pentru care optati daca folderul Documents and Settings e blocat de catre acelasi virus)
Puneti folderul in regim de wiew - details, dupa care alegeti sortarea dupa data (descrescator) a fisierelor. Vedeti ce s-a "agatat" de folderul asta pe data la care stiti ca a actionat virusul. Dupa cum vedeti in imaginea urmatoare, troianul nu e greu de identificat.
De regula veti identifica de indata problema - un executabil cu nume aiuristic care are si un back-up. Le stergeti, dupa care mergeti in Internet Explorer (sau ce browser ati folosit) si setati homepage-ul preferat (de regula troianul il seteaza la pagina care l-a generat, pentru a va "arunca" inapoi acolo). Dupa asta mergeti in Start Menu - Run (sau search, in Windows 7) - Msconfig - meniul "Startup", si debifati procesul aferent respectivului executabil. Nu uitati, toate acestea se fac din contul de admin, in Safe Mode.
Dupa care restart si n-joy!
No comments:
Post a Comment