1. Permiteti auto-update
Nu este prima data cand vorbesc despre auto-update al sistemului de operare. Este foarte important sa permiteti aceasta actiune pentru ca in acest mod sistemul vostru descarca pachete si solutii de securitate necesare acestuia. Odata cu aceste update-uri o sa aveti instalat si Windows Genuine - o aplicatie care verifica validitatea Windows XP. Dar daca aceasta va creaza probleme, deja trebuie sa stiti cum sa scapati de aceasta!
2.Scanati fisierele suspecte
Adesea vedeti in calculator diferite fisiere si directorii suspecte care nu ar trebui sa existe in genere... Pentru a va asigura ca totul este in ordine, puteti folosi serviciile online de scanare a fisierelor si directoriilor (arhivate) pentru a va asigura ca totul este in regula. Pentru aceste scopuri puteti accesa http://www.virustotal.com sau http://www.analysis.seclab.tuwien.ac.at Atentie! Scanarea directoriilor necesita arhivarea acestora inainte de a urma procesul de scanare...
3. Utilizati corect browser-ul
Trebuie sa recunoastem ca Internet Explorer nu este bun mai de nimic! Pentru acest browser sunt scrise un numar destul de mare de exploituri, cu ajutorul carora se pot face diferite tipuri de fraude. Pentru a fi cat de cat siguri pe browser-ul vostru, utilizati Mozilla FireFox cu anumite plugin-uri instalate manual care asigura o oarecare protectie contra phishing, xss, popup si alte chestii neplacute. La acest punct in genere trebuie de scris un set de reguli: navigarea si utilizarea corecta a resurselor in retea pentru evitarea fraudelor informationale.
4. Clean System Start-up
Orice trojan/keylogger porneste odata cu sistemul asa ca trebuie sa fiti atenti la start-up. Cea mai simpla metoda de a afla daca o aplicatie mallware este in start-up, este de a controla msconfig-ul. Start-> Run-> msconfig > Startup. Uneori System Configuration Utility "o da in bara" si nu arata toate aplicatiile mallware in start-up. Pentru a gasi tot ce se lanseaza odaca cu sistemul vostru de operare, utilizati WinPatrol care o sa va ajute sa le identificati: http://www.winpatrol.com sau alte aplicatii de acest gen. In caz ca doriti sa verificati manual start-up-ul...
Code: Registry Autostart Locations 1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\] All values in this key are executed. 2. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\] All values in this key are executed, and then their autostart reference is deleted. 3. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\] All values in this key are executed as services. 4. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\] All values in this key are executed as services, and then their autostart reference is deleted. 5. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] All values in this key are executed. 6. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\] All values in this key are executed, and then their autostart reference is deleted. 7. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\] Used only by Setup. Displays a progress dialog box as the keys are run one at a time. 8. [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\] Similar to the Run key from HKEY_CURRENT_USER. 9. [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\] Similar to the RunOnce key from HKEY_CURRENT_USER. 10. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] The "Shell" value is monitored. This value is executed after you log in. 11. [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\] All subkeys are monitored, with special attention paid to the "StubPath" value in each subkey. 12. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\] All subkeys are monitored, with special attention paid to the "StaticVXD" value in each subkey. 13. [HKEY_CURRENT_USER\ControlPanel\Desktop] The "SCRNSAVE.EXE" value is monitored. This value is launched when your screen saver activates. 14. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] The "BootExecute" value is monitored. Files listed here are Native Applications that are executed before Windows starts. 15. [HKEY_CLASSES_ROOT\vbsfile\shell\open\command\] Executed whenever a .VBS file (Visual Basic Script) is run. 16. [HKEY_CLASSES_ROOT\vbefile\shell\open\command\] Executed whenever a .VBE file (Encoded Visual Basic Script) is run. 17. [HKEY_CLASSES_ROOT\jsfile\shell\open\command\] Executed whenever a .JS file (Javascript) is run. 18. [HKEY_CLASSES_ROOT\jsefile\shell\open\command\] Executed whenever a .JSE file (Encoded Javascript) is run. 19. [HKEY_CLASSES_ROOT\wshfile\shell\open\command\] Executed whenever a .WSH file (Windows Scripting Host) is run. 20. [HKEY_CLASSES_ROOT\wsffile\shell\open\command\] Executed whenever a .WSF file (Windows Scripting File) is run. 21. [HKEY_CLASSES_ROOT\exefile\shell\open\command\] Executed whenever a .EXE file (Executable) is run. 22. [HKEY_CLASSES_ROOT\comfile\shell\open\command\] Executed whenever a .COM file (Command) is run. 23. [HKEY_CLASSES_ROOT\batfile\shell\open\command\] Executed whenever a .BAT file (BatchCommand) is run. 24. [HKEY_CLASSES_ROOT\scrfile\shell\open\command\] Executed whenever a .SCR file (ScreenSaver) is run. 25. [HKEY_CLASSES_ROOT\piffile\shell\open\command\] Executed whenever a .PIF file (Portable Interchange Format) is run. 26. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\] Services marked to startup automatically are executed before user login. 27. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\] Layered Service Providers, executed before user login. 28. [HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline] Executed when a 16-bit Windows executable is executed. 29. [HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline] Executed when a 16-bit DOS application is executed. 30. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit] Executed when a user logs in. 31. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\] Executed by explorer.exe as soon as it has loaded. 32. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run] Executed when the user logs in. 33.[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load] Executed when the user logs in. 34.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\] Subvalues are executed when Explorer initialises. 35. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\] Subvalues are executed when Explorer initialises. Folder Autostart Locations 1. windir\Start Menu\Programs\Startup\ 2. User\Startup\ 3. All Users\Startup\ 4. windir\system\iosubsys\ 5. windir\system\vmm32\ 6. windir\Tasks\ File Autostart Locations 1. c:\explorer.exe 2. c:\autoexec.bat 3. c:\config.sys 4. windir\wininit.ini 5. windir\winstart.bat 6. windir\win.ini - [windows] "load" 7. windir\win.ini - [windows] "run" 8. windir\system.ini - [boot] "shell" 9. windir\system.ini - [boot] "scrnsave.exe" 10. windir\dosstart.bat 11. windir\system\autoexec.nt 12. windir\system\config.nt | ||
Deobicei aplicatiile mallware cum sunt trojanii, spionii si alte aplicatii, la rulare isi inregistreaza procesele in tasklist-ul sistemului de operare. La tastarea [ctrl+ald+del] accesam Task Manager - o aplicatie standart a sistemului Windows XP care vizualizeaza in mod real-time procesele ce ruleaza la moment in calculator, cat si starea retelei (in caz ca calculatorul este in retea). Pentru a verifica lista de procese, accesati Processes, unde ve-ti putea identifica procesele "straine" care trebuiesc inchise cu End Process. In mod normal, sistemul trebuie sa contina acest minim de procese:
Code: ctfmon.exe; explorer.exe; lsass.exe; nvsvc32.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe x6, System; taskmgr.exe; winlogon.exe si altele (in dependenta de ce aplicatii ruleaza la moment) | ||
6. Stergeti orice Cookies
Cookie este un text care pleaca din browser-ul vostru spre site si se intoarce inapoi neschimbat. Astfel, daca hackerul reuseste sa fure cookie-urile voastre, intra pe site-urile ca si cum a-ti fi voi si nu el. Din aceste motive trebuie sa stergeti aceste cookies ca sa nu dati posibilitatea altor persoane sa stea pe vreun site in locul vostru! Acest lucru (stergerea cookies) se poate face direct din browser.
7. Dezactivati ActiveX
Un control ActiveX poate fi tot atat de simplu precum o caseta text sau mai complex, cum ar fi o bara de instrumente speciala, o intreaga caseta de dialog sau o mica aplicatie. Controalele ActiveX se utilizeaza in site-uri Web si in aplicatii pe calculator. Controalele ActiveX nu sunt solutii independente. Controalele ActiveX se pot executa numai din cadrul programelor gazda, cum ar fi Internet Explorer sau programele Microsoft Office. Totusi, controalele ActiveX sunt foarte puternice, deoarece sunt obiecte de tip COM si au acces nerestrictionat la calculator. Controalele ActiveX pot accesa sistemul de fisiere local si pot modifica setarile de registry ale sistemului de operare al vostru. Daca un hacker creeaza un control ActiveX care sa preia controlul asupra calculatorului vostru, daunele pot fi destul de serioase. Pentru a scapa de aceasta problema, puteti dezactiva ActiveX direct din browser.
8. Dezactivati AutoRun
Dupa cum am spus mai sus, AutoRun permite cd-urilor/dvd-urilor/flash stick-urilor sa ruleze automat. Astfel, in cazul in care pe acel cd/flash stick este un vierme/virus/trojan sau altceva, acesta poate sa se instaleze pe calculatorul vostru ceea ce desigur nu este de dorit. Pentru a scapa de aceasta amenintare ar fi mai bine sa dezactivati optiunea de autorun din system registry. Pentru aceasta lansati din Start -> Run -> RegEdit si deschideti adresa:
Code: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom] | ||
9. Nu pastrati nimic important in calculator
In caz ca aveti niste date importante si eventual confidentiale, totusi nu este recomandat sa le pastrati in memoria calculatorului deoarece sper ca a-ti inteles ca acestea nu sunt in deplina siguranta... Cel mai bine ar fi sa le pastrati pe un cd sau un flash stick. In caz ca totusi a-ti decis sa le pastrati in calculatorul vostru, folositi niste aplicatii de criptare a datelor si folositi parole pentru a apara aceste date de eventuale infiltrari. Cat tine de parole... Am scris de atatea ori despre acestea... Fiti prudenti pe cat este posibil! Despre cum sa va comportati cu acestea (parolele) cititi aici: viewtopic.php?f=17&t=103
10. Informarea este cea mai buna securizare
In caz ca totusi calculatorul vostru este infectat, cred ca este cazul sa cereti un "sfat" de la google. Odata ce aveti numele aplicatiei mallware, cautati mai multe informatii despre acesta. Nu este greu sa gasesti mai multe informatii despre ce modificari face in sistem, in registry sau in alta parte, puteti afla metode mai eficiente de combatere a acestuai si alte informatii utile!
Pentru moment cam atat este... O sa revin cu completari ca mai sunt chestii ce merita a fi discutate.
Materiale extrase si completate din manualul "About Security" de xZu_Rober][, 2008
© vilches & xZu_Rober][, SysBoard 2009.
Niciun comentariu:
Trimiteți un comentariu