|
11. říjen 1999 - Viry |
Virový maják č. 14: DonaldD - žádná kreslená pohádka, ale trojský kůň!!
DonaldD je velmi podobný známému trojskému koni Back Orifice - ve své podstatě jde o dobrý a zajímavý software pro vzdálenou správu počítače, který, bohužel, slouží jako nástroj hackerů. Zpravidla jej můžete získat tak, že si na nějakém hackerském webu stáhnete soubor, který se tváří jako zajímavá a užitečná aplikace. Ve skutečnosti pak tento program po nainstalování do Windows umožní získat prakticky komukoliv plný přístup k systému skrze síťové připojení. Skládá se ze dvou částí - server a klient - přičemž obě části jsou schopné běžet pod Windows 95, 98 a NT 4.0. Klientská aplikace nainstalovaná na jedné straně dovoluje monitorovat a kontrolovat druhou stranu, na níž běží serverová část.
Serverová aplikace může být nakonfigurována s několika různými možnostmi. Ke komunikaci klient-server se používá protokolů TCP nebo SPX. Číslo portu, skrz který může klient komunikovat se serverem, je konfigurovatelné v rozmezí 1 a 65535 (pro TCP je standardně použit port 23476, eventuálně 23477, pro SPX pak 0x9014 nebo 0x9015). Spolehlivou ochranou proti DonaldD mohou být firewallové programy, které neumožní komunikaci mezi oběma aplikacemi (zatím nebyl zaznamenán žádný případ, kdy DonaldD tento způsob zabezpečení dokázal obejít).
Co DonaldD umí?
DonaldD obsahuje několik chyb, které mohou způsobit spadnutí aplikace na klientské straně, nicméně přesto dokáže s počítačem provádět docela zajímavé a nebezpečné kousky jako například:
- vytvářet a mazat složky
- kopírovat, mazat, přejmenovávat, uploadovat a downloadovat soubory
- prohlížet, ukončovat a nastavovat priority procesů
- spouštět programy
- vytvářet a mazat klíče v registrech
- nastavovat hodnoty položek registrů
- nastavovat systémové datum a čas
- ukončovat systém, odhlašovat od sítě, restartovat a vypínat počítač (vypnout počítač lze pouze v případě ATX zdrojů)
- sledovat seznam aktuálně otevřených oken
- získat screenshot celé obrazovky, nebo pouze vybraného okna
- odesílat zprávy do vybraného okna
- modifikovat CMOS (pouze pod Windows 9x)
- přemapovávat a zakazovat libovolné klávesy na klávesnici
- otevírat a zavírat mechaniku CD ROM
- vypínat a zapínat monitor (pouze umožňuje-li to samotný hardware)
- posílat uživateli zprávy v dialogových oknech s libovolně konfigurovatelnými potvrzovacími tlačítky
- přehrávat WAV soubory
- získat heslo k CMOS a spořiči obrazovky
- získat výpis sdílených zdrojů (diskových jednotek, adresářů, tiskáren, ...)
Ruční odstranění ze systému Windows 9x
- Nastartujte počítač ze systémové diskety, nebo do režimu MS DOS.
- Přejděte do systémové složky Windows (zpravidla c:\windows\system)
- Smažte soubory pnpmgr.pci, oleproc.exe, vmldr.vxd.
- Restartujte počítač,
- V Editoru registru (Start-Spustit-regedit.exe) přejděte do větve HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\.
- Smažte celý klíč VMLDR.
- Restartujte počítač a poté v registrech zkontrolujte, zda nebyl smazaný klíč opět obnoven (to by znamenalo, že odstranění nebylo úspěšné).
Ruční odstranění ze systému Windows NT
- Spusťte Editor registru.
- Přejděte do větve HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control \Session Manager.
- V pravé polovině okna hledejte záznam BootExecute.
- Klikněte na vybranou položku pravým tlačítkem myši a z menu vyberte Změnit.
- Uvidíte řadu hexadecimálních čísel a text. Hledejte řetězec bootexec (hexadecimálně 00 62 6F 6F 74 65 78 65 63). Tuto sekvenci smažte.
- Najděte a smažte v registrech klíče Pdata0 a Pdata1.
- Restartujte počítač.
- Spusťte příkazový řádek a smažte soubory bootexec.exe, pmss.exe a oleproc.exe ze systémové složky Windows
- Restartujte počítač a zkontrolujte registry, zda nebyly obnoveny smazané záznamy.
Že vám připadá celá procedura na odstranění tohoto trojského koně příliš složitá a že se vám nelíbí, co může kdosi na druhé straně "drátu" provádět s vašim počítačem? Pak nezbývá než doporučit velkou opatrnost při používání software podezřelého původu (nejbezpečnější je samozřejmě se takovému softwaru z dálky vyhnout).
|
|
|
Reklama |
Zde může být vaše reklama.
|
|
|
|
|
Reklama |
|
|