Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Jak poradzić sobie ze ZBOTem?

redakcja 15-11-2010, 22:33

Jednym z niebezpieczeństw czyhających na użytkowników bankowości elektronicznej są konie trojańskie przystosowane do kradzieży poufnych danych wprowadzanych podczas logowania się na stronę internetową banku. Do niedawna większość tego typu szkodników tworzona była z myślą o mieszkańcach takich krajów, jak Stany Zjednoczone czy Chiny. W grudniu ubiegłego roku pojawił się jednak trojan nastawiony na wykradanie danych ze stron również polskich banków.

Jest on wykrywany jako Zbot lub Zeus, choć niektórzy producenci aplikacji zabezpieczających klasyfikują go inaczej. Może się okazać, że program antywirusowy, którego używamy na co dzień, nie będzie w stanie go usunąć, nie należy jednak wpadać w panikę.

Powstało kilka bezpłatnych, łatwych w obsłudze narzędzi, za pomocą których szybko pozbędziemy się trojana. Istnieje też możliwość wykasowania go przy użyciu Konsoli Odzyskiwania (metoda polecana dla bardziej zaawansowanych użytkowników).

Poniżej zamieszczamy szczegółową instrukcję.

1. Wyłączenie przywracania systemu

Funkcja ta pozwala na przywrócenie plików systemowych komputera do ich wcześniejszego stanu przy użyciu punktów przywracania gromadzonych w specjalnych folderach (System Volume Information w systemach Windows XP oraz Vista, _RESTORE w dziś już prawie nieużywanym Windows Me). W przypadku infekcji istnieje duże prawdopodobieństwo utworzenia kopii zapasowej wirusa, który z łatwością się odtworzy, jeśli użytkownik skorzysta kiedyś z Przywracania systemu. Skasowanie zawartości wspomnianych folderów odbywa się za pomocą wyłączenia tej funkcji (potem można ją oczywiście ponownie włączyć).

Windows Vista

  • Przechodzimy do Panelu sterowania i klikamy ikonę System.
  • Klikamy łącze Ochrona systemu - jeśli zostanie wyświetlony monit o podanie hasła administratora, wpisujemy je.
  • Czyścimy pola wyboru umieszczone obok poszczególnych dysków i klikamy OK.
  • Po pojawieniu się monitu o wyłączenie tej funkcji, potwierdzamy nasz wybór.

Windows XP

  • Przechodzimy do Panelu sterowania i klikamy ikonę System.
  • W oknie Właściwości systemu wybieramy zakładkę Przywracanie systemu.
  • Zaznaczamy pole wyboru przy opcji Wyłącz Przywracanie systemu na wszystkich dyskach i klikamy OK.
  • Po pojawieniu się monitu o wyłączenie tej funkcji, potwierdzamy nasz wybór.

Windows 98/Me

  • Przechodzimy do Panelu sterowania i klikamy ikonę System.
  • Wybieramy zakładkę Wydajność i klikamy przycisk System plików.
  • W oknie, które się wówczas pojawi, przechodzimy do zakładki Rozwiązywanie problemów i zaznaczamy opcję Wyłącz Przywracanie systemu. Klikamy OK.
  • Po pojawieniu się monitu o zrestartowanie komputera, potwierdzamy nasz wybór.

2. Usuwanie trojana

METODY POLECANE KAŻDEMU

a) Użycie programu CureIT

CureIt można pobrać ze strony http://www.drweb32.pl - po wejściu na nią klikamy lewym przyciskiem myszy w napis DARMOWE narzędzie Dr.WEB CureIT! Zapisujemy plik w wybranym miejscu, np. na Pulpicie. Uruchamiamy narzędzie, dwukrotnie klikając na ikonę pliku, następnie wciskamy przycisk Start. Potwierdzamy uruchomienie poprzez wciśnięcie OK i czekamy na wyniki skanowania pamięci głównej komputera i jego plików startowych. Zbot wykrywany jest przez ten program jako Trojan.PWS.Panda.xxx, gdzie xxx może przyjmować różne wartości w zależności od wersji szkodnika. Na pytanie o zgodę na leczenie zainfekowanego pliku odpowiadamy, wciskając przycisk Tak. Zbot zostanie usunięty.

Opisywanemu Trojanowi często towarzyszą inne szkodliwe programy, warto więc po zakończeniu testowania przeprowadzić jeszcze pełne skanowanie systemu:

b) Użycie programu ZbotKiller

Należy również użyć narzędzia przygotowanego przez firmę Kaspersky Lab. Pobieramy je ze strony http://data2.kaspersky-labs.com:8080/special/ZBotKiller_v2.zip. Po ściągnięciu pliku na dysk należy go rozpakować. Program uruchamiamy, dwukrotnie klikając na ikonę programu. ZbotKiller uruchamia się w trybie tekstowym, poniżej można zobaczyć efekt jego działania:

Warto pamiętać, że narzędzie to służy tylko do usuwania Zbota. Chcąc upewnić się, czy nie towarzyszą mu inne szkodliwe programy, należy wszystkie dyski przeskanować programem antywirusowym, którego używamy na co dzień.

METODA ZAAWANSOWANA

Aby usunąć Trojana, doświadczeni użytkownicy mogą posłużyć się Konsolą Odzyskiwania. Chcąc skorzystać z tego narzędzia, wkładamy dysk instalacyjny systemu Windows do stacji CD-ROM i restartujemy komputer (konieczne jest skonfigurowanie BIOS-u do rozruchu z dysku CD). Gdy pojawi się ekran Instalator - Zapraszamy, naciskamy klawisz R, aby uruchomić Konsolę Odzyskiwania:

W przypadku systemu Windows 2000 dodatkowo trzeba będzie nacisnąć klawisz C (zgodnie z poniższymi obrazkami).

Kolejnym krokiem będzie wybór systemu operacyjnego. Najczęściej na komputerze będzie tylko 1 Windows, wpisujemy więc 1 i wciskamy ENTER:

Pojawi się pytanie o hasło logowania do Windows - w tym przypadku chodzi o hasło administratora, nie użytkownika. Jeśli nie ma żadnego hasła, wciskamy tylko ENTER, jeśli hasło jest, należy je wpisać:

Trojan, którego chcemy usunąć, ukrywa się w folderze C:WindowsSystem w przypadku Windows 98 i Me, C:WINNTSystem32 w przypadku Windows NT i 2000, C:WindowsSystem32 w przypadku Windows XP, Vista i Server 2003). Może przybierać różne nazwy:

  • ntos.exe
  • twex.exe
  • twext.exe
  • oembios.exe
  • sdra64.exe
  • userinit32.exe

W konsoli odzyskiwania wpisujemy:

del {ścieżka do pliku trojana i jego nazwa}

Przykładowo, jeśli szkodnik ukrywa się w katalogu System32 i nosi nazwę ntos.exe (warto to sprawdzić przed zrestartowaniem komputera), wpisujemy:

del c:windowssystem32 tos.exe

Operację powtarzamy, aż wykasujemy wszystkie pliki szkodnika, za każdym razem potwierdzając ją przyciskiem ENTER. Następnie usuwamy podrzędny folder trojana:

Wpisujemy

cd system

i naciskamy ENTER.

Wpisujemy

rmdir wsnpoem

i naciskamy ENTER.

Aby opuścić Konsolę Odzyskiwania, wpisujemy exit, potwierdzając komendę przyciskiem ENTER.

3. Czynności dodatkowe

a) Wykasowanie zmodyfikowanych wpisów rejestru

Aby przejść do kolejnego etapu usuwania trojana, należy uruchomić Edytor rejestru. Etap ten nie jest obowiązkowy, mniej doświadczeni użytkownicy mogą go pominąć.
W tym celu klikamy przycisk Start i w pole Uruchom wpisujemy regedit i wciskamy OK.

W systemie Windows Vista po kliknięciu przycisku Start w polu szukania wpisujemy regedit, następnie klikając na wyniku prawym przyciskiem myszy, wybieramy opcję Uruchom jako Administrator).

Przed każdą zmianą robimy kopię usuwanego bądź modyfikowanego wpisu. W tym celu rozwijamy drzewko i wybieramy gałąź, w której chcemy dokonać zmian. Klikając na niej prawym przyciskiem myszy, wybieramy opcję Eksportuj. W nowym oknie wskazujemy miejsce zapisu kopii, jej nazwę i typ (jako typ pliku wybieramy *.reg). W celu odwrócenia ewentualnych szkód wystarczy podwójnie kliknąć w uzyskany plik i stosowny wpis zostanie przywrócony do rejestru.

Najpierw w lewej części okna znajdujemy klucz:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows NT>CurrentVersion>Winlogon

W prawej części okna lokalizujemy wpis:

Userinit = "%System%Userinit.exe,%System% tos.exe,"

(wyrażenie %System% oznacza folder C:WindowsSystem w przypadku Windows 98 i Me, C:WINNTSystem32 w przypadku Windows NT i 2000, C:WindowsSystem32 w przypadku Windows XP, Vista i Server 2003).

Klikając w ten wpis prawym przyciskiem myszy, wybieramy opcję Modyfikuj. Pojawi się nowe okienko, gdzie w polu wartości wpisujemy:

%System%Userinit.exe

Teraz znajdujemy klucz:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Network

Usuwamy w prawej części okna wpisy zbudowane według następującego schematu:

UID = "{nazwa komputera}_{losowa liczba}"
np. UID = "{komputer testowy}_{109}"

Kończymy ten etap, zamykając Edytor rejestru.

b) Skanowanie systemu

Na końcu należy pobrać najnowsze uaktualnienia antywirusowych baz danych i przeprowadzić kompleksowe skanowanie wszystkich dysków. Warto przedtem upewnić się, że program antywirusowy zainstalowany na komputerze posiada właściwą konfigurację. Dla pewności można też skorzystać ze skanerów dostępnych online. W tym celu trzeba wejść na odpowiednią stronę internetową i zgodzić się na pobranie niezbędnych składników. Większość skanerów online wykorzystuje ActiveX, co powoduje, że można je uruchomić tylko w Internet Explorerze. Firefoksa obsługują jedynie Trend Micro HouseCall i Panda ActiveScan. Nie należy też zapominać, że niektóre skanery (nawet renomowanych firm) jedynie wykrywają szkodliwe programy, ale ich nie usuwają. Poniżej publikujemy listę skanerów online, z pomocą których można usunąć różne rodzaje wirusów i trojanów:

  • Trend Micro HouseCall 6.6 - http://prerelease.trendmicro-europe.com/hc66/launch/
  • Panda ActiveScan 2.0 - http://www.pandasecurity.com/activescan/index/
  • F-Secure Online Virus Scanner - http://support.f-secure.com/enu/home/ols.shtml
  • BitDefender Online Virus Scan - http://www.bitdefender.com/scan8/ie.html
  • mks_vir Scaner On-line - http://www.mks.com.pl/skaner/
  • ArcaOnline - http://www.arcabit.pl/content/view/124/145/lang,polish/
  • ESET Online Scanner - http://www.eset.com/onlinescan/
  • Windows Live OneCare - http://onecare.live.com/site/en-US/default.htm

Dopiero po przeskanowaniu wszystkich dysków możemy włączyć usługę Przywracania systemu. Należy też pamiętać o zainstalowaniu wszystkich wymaganych poprawek, rozprowadzanych przez Microsoft za pośrednictwem Windows Update.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Następny artykuł » zamknij

Chiny: Ophone podbije rynek?

Źródło: DI24.pl



Ostatnie artykuły:

fot. HONOR








fot. Freepik



fot. ING