Calirea sistemului de operare Windows XP

Continui sa completez ciclul de articole cu privire la optimizarea si securizarea sistemului de operare Windows XP de la Microsoft. In acest articol voi vorbi mai mult despre cum putem evita infectarea sistemului nostru cu diferiti "monstri" care in prezent sunt intr-o cantitate solida pe paginile internetului si pe tot felul de cd-uri/flash stick-uri. Merita sa fie retinut faptul ca orice persoana ce are acces la reteaua globala, practic automat este expus unui risc mai mare sau mai mic de a fi infectat cu una sau mai multe aplicatii mallware. Prin mallware vorbesc despre totalitatea virusilor,viermilor,troienilor,spionilor si a altor reprezentanti ai acestei familii. Faptul ca accesati doar un site sau altul nu va salveaza de infectie, pentru ca aplicatiile mallware din ziua de azi sunt concepute cu scopul de a infecta un numar maxim de calculatoare si cu acest scop se inmultesc acolo unde au posibilitate (un calculator, un flash stick etc) prin metoda de la un calculator la altul prin orice purtator de date. Ca sa verific aceasta afirmatie, am facut un mic experiment cu un prieten de-al meu. Am lansat o aplicatie scrisa de acest prieten (care nu aducea daune, doar arata pe cate calculatoare a nimerit timp de o saptamana) intr-un internet cafe. La sfarsitul saptamanii, aceasta aplicatie sa copiat in peste 40 de calculatoare! Cred ca nu mai trebuie sa vorbim despre internet, unde asemenea "aplicatii" sunt cu miile! Cat de sumbra nu ar fi realitatea, totusi puteti opune rezistenta aplicatiilor mallware practic de orice tip. In primul rand trebuie sa instalati pe calculatorul vostru aplicatii ce asigura securitatea datelor si a calculatorului in general. Aici este vorba despre un antivirus de calitate, firewall, antispyware si cateva plugin-uri pentru browser, care impreuna asigura securitatea datelor voastre. Despre acestea voi vorbi intr-un articol aparte, iar aici vreau sa continui cu cateva sfaturi care totusi sustin intr-o masura destul de mare securitatea calculatorului. Deci fiti atenti la urmatoarele puncte de "calire a securitatii sistemului de operare".

1. Permiteti auto-update
Nu este prima data cand vorbesc despre auto-update al sistemului de operare. Este foarte important sa permiteti aceasta actiune pentru ca in acest mod sistemul vostru descarca pachete si solutii de securitate necesare acestuia. Odata cu aceste update-uri o sa aveti instalat si Windows Genuine - o aplicatie care verifica validitatea Windows XP. Dar daca aceasta va creaza probleme, deja trebuie sa stiti cum sa scapati de aceasta!

2.Scanati fisierele suspecte
Adesea vedeti in calculator diferite fisiere si directorii suspecte care nu ar trebui sa existe in genere... Pentru a va asigura ca totul este in ordine, puteti folosi serviciile online de scanare a fisierelor si directoriilor (arhivate) pentru a va asigura ca totul este in regula. Pentru aceste scopuri puteti accesa http://www.virustotal.com sau http://www.analysis.seclab.tuwien.ac.at Atentie! Scanarea directoriilor necesita arhivarea acestora inainte de a urma procesul de scanare...

3. Utilizati corect browser-ul
Trebuie sa recunoastem ca Internet Explorer nu este bun mai de nimic! Pentru acest browser sunt scrise un numar destul de mare de exploituri, cu ajutorul carora se pot face diferite tipuri de fraude. Pentru a fi cat de cat siguri pe browser-ul vostru, utilizati Mozilla FireFox cu anumite plugin-uri instalate manual care asigura o oarecare protectie contra phishing, xss, popup si alte chestii neplacute. La acest punct in genere trebuie de scris un set de reguli: navigarea si utilizarea corecta a resurselor in retea pentru evitarea fraudelor informationale.

4. Clean System Start-up
Orice trojan/keylogger porneste odata cu sistemul asa ca trebuie sa fiti atenti la start-up. Cea mai simpla metoda de a afla daca o aplicatie mallware este in start-up, este de a controla msconfig-ul. Start-> Run-> msconfig > Startup. Uneori System Configuration Utility "o da in bara" si nu arata toate aplicatiile mallware in start-up. Pentru a gasi tot ce se lanseaza odaca cu sistemul vostru de operare, utilizati WinPatrol care o sa va ajute sa le identificati: http://www.winpatrol.com sau alte aplicatii de acest gen. In caz ca doriti sa verificati manual start-up-ul...
Code:
Registry Autostart Locations
1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\]
All values in this key are executed.
2. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\]
All values in this key are executed, and then their autostart reference is deleted.
3. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\]
All values in this key are executed as services.
4. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\]
All values in this key are executed as services, and then their autostart reference is deleted.
5. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
All values in this key are executed.
6. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\]
All values in this key are executed, and then their autostart reference is deleted.
7. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\]
Used only by Setup. Displays a progress dialog box as the keys are run one at a time.
8. [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\]
Similar to the Run key from HKEY_CURRENT_USER.
9. [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\]
Similar to the RunOnce key from HKEY_CURRENT_USER.
10. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
The "Shell" value is monitored. This value is executed after you log in.
11. [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\]
All subkeys are monitored, with special attention paid to the "StubPath" value in each subkey.
12. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\]
All subkeys are monitored, with special attention paid to the "StaticVXD" value in each subkey.
13. [HKEY_CURRENT_USER\ControlPanel\Desktop]
The "SCRNSAVE.EXE" value is monitored. This value is launched when your screen saver activates.
14. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager]
The "BootExecute" value is monitored. Files listed here are Native Applications that are executed before Windows starts.
15. [HKEY_CLASSES_ROOT\vbsfile\shell\open\command\]
Executed whenever a .VBS file (Visual Basic Script) is run.
16. [HKEY_CLASSES_ROOT\vbefile\shell\open\command\]
Executed whenever a .VBE file (Encoded Visual Basic Script) is run.
17. [HKEY_CLASSES_ROOT\jsfile\shell\open\command\]
Executed whenever a .JS file (Javascript) is run.
18. [HKEY_CLASSES_ROOT\jsefile\shell\open\command\]
Executed whenever a .JSE file (Encoded Javascript) is run.
19. [HKEY_CLASSES_ROOT\wshfile\shell\open\command\]
Executed whenever a .WSH file (Windows Scripting Host) is run.
20. [HKEY_CLASSES_ROOT\wsffile\shell\open\command\]
Executed whenever a .WSF file (Windows Scripting File) is run.
21. [HKEY_CLASSES_ROOT\exefile\shell\open\command\]
Executed whenever a .EXE file (Executable) is run.
22. [HKEY_CLASSES_ROOT\comfile\shell\open\command\]
Executed whenever a .COM file (Command) is run.
23. [HKEY_CLASSES_ROOT\batfile\shell\open\command\]
Executed whenever a .BAT file (BatchCommand) is run.
24. [HKEY_CLASSES_ROOT\scrfile\shell\open\command\]
Executed whenever a .SCR file (ScreenSaver) is run.
25. [HKEY_CLASSES_ROOT\piffile\shell\open\command\]
Executed whenever a .PIF file (Portable Interchange Format) is run.
26. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\]
Services marked to startup automatically are executed before user login.
27. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\]
Layered Service Providers, executed before user login.
28. [HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline]
Executed when a 16-bit Windows executable is executed.
29. [HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline]
Executed when a 16-bit DOS application is executed.
30. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]
Executed when a user logs in.
31. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\]
Executed by explorer.exe as soon as it has loaded.
32. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run]
Executed when the user logs in.
33.[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load]
Executed when the user logs in.
34.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\]
Subvalues are executed when Explorer initialises.
35. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\]
Subvalues are executed when Explorer initialises.

Folder Autostart Locations
1. windir\Start Menu\Programs\Startup\
2. User\Startup\
3. All Users\Startup\
4. windir\system\iosubsys\
5. windir\system\vmm32\
6. windir\Tasks\

File Autostart Locations
1. c:\explorer.exe
2. c:\autoexec.bat
3. c:\config.sys
4. windir\wininit.ini
5. windir\winstart.bat
6. windir\win.ini - [windows] "load"
7. windir\win.ini - [windows] "run"
8. windir\system.ini - [boot] "shell"
9. windir\system.ini - [boot] "scrnsave.exe"
10. windir\dosstart.bat
11. windir\system\autoexec.nt
12. windir\system\config.nt
5. Aflati ce ruleaza la moment...
Deobicei aplicatiile mallware cum sunt trojanii, spionii si alte aplicatii, la rulare isi inregistreaza procesele in tasklist-ul sistemului de operare. La tastarea [ctrl+ald+del] accesam Task Manager - o aplicatie standart a sistemului Windows XP care vizualizeaza in mod real-time procesele ce ruleaza la moment in calculator, cat si starea retelei (in caz ca calculatorul este in retea). Pentru a verifica lista de procese, accesati Processes, unde ve-ti putea identifica procesele "straine" care trebuiesc inchise cu End Process. In mod normal, sistemul trebuie sa contina acest minim de procese:
Code:
ctfmon.exe; explorer.exe; lsass.exe; nvsvc32.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe x6, System; taskmgr.exe; winlogon.exe si altele (in dependenta de ce aplicatii ruleaza la moment)
Dar nu tot timpul ve-ti avea posibilitatea sa accesati Task Manager pentru ca aceste aplicatii mallware se apara astfel, lichidand posibilitatea de a-i inchide procesul acesta. In asemenea caz in ajutor va vine Command Prompt cu comenzile "tasklist" care vizualizeaza procesele si cu comanda "taskkill /f /im numedeproces.exe" care inchide procesul numedeproces.exe. Astfel, orientandu-va dupa tasklist puteti inchide procesul nedorit. Trebuie de mentionat ca aplicatiile mallware de azi sunt destul de complicate, multe din ele fiind scrise la un nivel destul de inalt, astfel incat acestea sa fie ascunse si invizibile pentru lista de procese. Nu uitati! Cat de securizati nu a-ti fi, oricum exista programuri scrise la nivel profesionist care sunt in stare sa treaca pe langa orice antivirus/firewall si alte solutii de securizare, asa ca niciodata nu puteti fi siguri 100% pe securizarea datelor voastre.

6. Stergeti orice Cookies
Cookie este un text care pleaca din browser-ul vostru spre site si se intoarce inapoi neschimbat. Astfel, daca hackerul reuseste sa fure cookie-urile voastre, intra pe site-urile ca si cum a-ti fi voi si nu el. Din aceste motive trebuie sa stergeti aceste cookies ca sa nu dati posibilitatea altor persoane sa stea pe vreun site in locul vostru! Acest lucru (stergerea cookies) se poate face direct din browser.

7. Dezactivati ActiveX
Un control ActiveX poate fi tot atat de simplu precum o caseta text sau mai complex, cum ar fi o bara de instrumente speciala, o intreaga caseta de dialog sau o mica aplicatie. Controalele ActiveX se utilizeaza in site-uri Web si in aplicatii pe calculator. Controalele ActiveX nu sunt solutii independente. Controalele ActiveX se pot executa numai din cadrul programelor gazda, cum ar fi Internet Explorer sau programele Microsoft Office. Totusi, controalele ActiveX sunt foarte puternice, deoarece sunt obiecte de tip COM si au acces nerestrictionat la calculator. Controalele ActiveX pot accesa sistemul de fisiere local si pot modifica setarile de registry ale sistemului de operare al vostru. Daca un hacker creeaza un control ActiveX care sa preia controlul asupra calculatorului vostru, daunele pot fi destul de serioase. Pentru a scapa de aceasta problema, puteti dezactiva ActiveX direct din browser.

8. Dezactivati AutoRun
Dupa cum am spus mai sus, AutoRun permite cd-urilor/dvd-urilor/flash stick-urilor sa ruleze automat. Astfel, in cazul in care pe acel cd/flash stick este un vierme/virus/trojan sau altceva, acesta poate sa se instaleze pe calculatorul vostru ceea ce desigur nu este de dorit. Pentru a scapa de aceasta amenintare ar fi mai bine sa dezactivati optiunea de autorun din system registry. Pentru aceasta lansati din Start -> Run -> RegEdit si deschideti adresa:
Code:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom]
si setati 0 in Autorun. Deasemenea ar fi bine sa creati pe discurile voastre de calculator/flash stickuri un fisier "autorun.inf" pentru ca majoritatea aplicatiilor mallware la activitatea lor creaza acest fisier. Dupa crearea acestuia ve-ti putea fi ocolit de cateva posibile infectii.

9. Nu pastrati nimic important in calculator
In caz ca aveti niste date importante si eventual confidentiale, totusi nu este recomandat sa le pastrati in memoria calculatorului deoarece sper ca a-ti inteles ca acestea nu sunt in deplina siguranta... Cel mai bine ar fi sa le pastrati pe un cd sau un flash stick. In caz ca totusi a-ti decis sa le pastrati in calculatorul vostru, folositi niste aplicatii de criptare a datelor si folositi parole pentru a apara aceste date de eventuale infiltrari. Cat tine de parole... Am scris de atatea ori despre acestea... Fiti prudenti pe cat este posibil! Despre cum sa va comportati cu acestea (parolele) cititi aici: viewtopic.php?f=17&t=103

10. Informarea este cea mai buna securizare
In caz ca totusi calculatorul vostru este infectat, cred ca este cazul sa cereti un "sfat" de la google. Odata ce aveti numele aplicatiei mallware, cautati mai multe informatii despre acesta. Nu este greu sa gasesti mai multe informatii despre ce modificari face in sistem, in registry sau in alta parte, puteti afla metode mai eficiente de combatere a acestuai si alte informatii utile!

Pentru moment cam atat este... O sa revin cu completari ca mai sunt chestii ce merita a fi discutate.

Materiale extrase si completate din manualul "About Security" de xZu_Rober][, 2008

© vilches & xZu_Rober][, SysBoard 2009.

Niciun comentariu:

Trimiteți un comentariu

Abonați-vă la: Postare comentarii (Atom)