מדריך: לעצור וירוסים מלהטען אוטומתית כאשר מריצים קובץ הפעלה

הרבה וירוסים וסוסים טרויאנים מבצעים שינוים בקובץ הרשומות (Registry) של Windows
כך שהם ירוצו ברגע שמפעילים את המחשב ועל מנת שהם לא יזוהו ע"י ניטרול כלים כמו מנהל המשימות (Task Manager),עורך קובץ הרשומות (Regedit) וכ"ו.
אפשר להסיר בקלות את כל ההגבלות ע"י Remove Restriction Tool (RRT).

לאחרונה גילתי שוירוסים יכולים לשנות ערכים ב-Registry כך שהם או וירוס ירוץ ברגע שמריצים כל קובץ EXE.
דמינו את זה, ז"א שהוירוס נטעל על כל קובץ EXE (או BAT) שאתם מריצים.
שבוע שעבר יצא לי לנקות מחשב שהיה נגוע ב-Brontok. אחרי שסימתי לסרוק ולנקות את הוירוס ולשחזר את השינוים שנגרמו ע"י הוירוס,
Symantec Antivirus Corporate Edition עדין היה עולה ומתריע שהוירוס Brontok נמצא ונמחק אוטומתית.
זה קרה כל פעם שהיתי מריץ איזה קובץ EXE.

עכשיו הבנתי איך זה עובד, ואיך לבטל את המצב שהוירוס היה רץ כל פעם שהיתי מריץ קובץ.
זה קורה כאשר וירוס משנה ערך או כמה במפתחות shell\open\command. אם המפתחות האלה שונו, התולעת או סוס טרויאני ירוץ כל פעם שתריצו קובץ מסויים.

לדוגמא, אם המפתח \exefile\shell\open שונה, הוירוס ירוץ כל פעם שנריץ כל קובץ EXE.
זה גם עלול למנוע ממך להריץ את RegEdit על מנת לתקן את התקלה.
הוא יכול גם לשנות ערכים מסויים ב-registry כך שלא נוכל להריץ את regedit בכלל.

ערכתי ניסוי ע"י הוספת הנתיב של notepad.exe למפתח \exefile\shell\open\ ואז נסתי להריץ כל קובץ EXE, זה הריץ את הקובץ EXE יחד עם notepad.exe! עבור Brontok הוא טען דלת אחורית שנקראת "shell.exe".

אתם לא תרגישו במשהו חריג כשתנסו להריץ את הקובץ EXE.

תודות ל- Symantec Security Response עבור יצירת הסקריפט שיכול לאתחל את הערכים הנ"ל ב-regisrty לערכים המקורים.
אז מה יש לנו סקריפט:

קוד:

[Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1""" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools,0x00000020,0

מכול המפתחות הנ"ל, המפתח exefile נמצא בשימוש בתדירות הכי גבוה כאשר אנו מפעילים את המחשב.
כאשר המחשב עולה הוא טוען המון קבצי EXE. כאשר אנחנו מפעלים תוכנה, היא גם טוענת קבצי EXE.
שאר הסיומות, נעשה בשם שימוש לעיטים יותר רחוקות.
על מנת להיות בצד הבטוח עדיף לתת ל- Symantec לשחזר את כל הערכים לברירת המחדל למפתחות shell\open.

איך להתקין את הסקריפט:

1. הורידו את הקובץ המצורף, ושמרו אותו למחשב.
2. לחיצה ימנית על הקובץ, ובחרו ל-install

כלי מאוד נחמד להלחם בוירוסים דביקים כמו Brontok
http://securityresponse.symantec.co.../UnHookExec.inf

תורגם מהבלוג של Raymond.CC

אפשרויות משלוח הודעות

אתה לא יכול לפתוח אשכולות חדשים

אתה לא יכול להגיב לאשכולות

אתה לא יכול לצרף קבצים

אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל

סמיילים פעיל

קוד [IMG] פעיל

קוד HTML כבוי

כלי אשכול	חפש באשכול זה
הצג גירסת הדפסה שלח דף זה ב E-Mail	חפש באשכול זה: חיפוש מתקדם
מצבי תצוגה	דרג אשכול זה
עבור למצב לינארי מצב כלאיים עבור למצב משורשר	דרג אשכול זה:

הדף נוצר ב 0.05 שניות עם 10 שאילתות
צור קשר - Fresh - למעלה