Desinfectando-se | Tutoriais » ..::| NetGate |::..

     Um dos maiores problemas na internet são os tão temidos Cavalos-de-tróia, ou como popularmente são conhecidos, Trojans (corretamente como Trojan Horses). São arquivos geralmente executáveis (.EXE) que assim que executados abrem uma porta de conexão remota no computador da vítima que o executou possibilitando a invasão de outros via client/server desse mesmo trojan. Após isso ele se torna um auto-executável que sempre que se inicia o Windows ele automaticamente começará a rodar. Há várias formas de se desinfectar desses imprevistos cibernéticos, a forma mais garantida (na minha opinião) é a manual, embora mais trabalhosa ela sempre me deu 100% de conforto.
     Existem hoje ferramentas específicas muito eficientes no combate àos trojans, o mais eficiente é o Cleaner*, que na sua versão mais recente a 3.0, contêm centenas definições de vírus que tiram o sossego da sua navegação na internet.
    A seguir um tutorial completo de como se desinfectar dos Trojan Horses mais comuns da internet.

* Encontrado na nossa seção de Downloads a versão mais recente.

Back Orifice

1º - Como saber se você está infectado pelo Back Orifice
Para ver se você está infectado abra o prompt do dos e digite c:\>netstat -nap udp 000.0.0.0.0:31337 Caso alguma linha mostre a porta 31337 (udp) em listening você esta infectado pelo Backorifice obs não prescisa estar conectado a internet para fazer esse teste.

2º-Procurando o arquivo infectado
Clique em iniciar , localizar e arquivos ou pastas . No Windows 98 digite em contendo texto : Server: BO . se for o Win95 no localizar clique em avançado e digite Server: BO em contendo texto. Se você se você estiver infectado vai aparecer o arquivo infectado na lista , um arquivo com mais ou menos 120KB com um nome .exe ou outro nome qualquer pois isso pode ser mudado

3º- Desativando o BO
Clique em Iniciar e depois em executar digite regedit e depois clique em ok . Agora você vai clicando duas vezes nas pastas que seguem adiante "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerssion\RunServices" na janela do lado direito irão aparecer vários nomes de programas que são executados quando o Windows se inicia clique em cima do programa que tem o nome que foi localizado no Localizar arquivos e aperte a tecla delete . Depois saia do regedit e vá no local onde foi encontrado o arquivo e apague o arquivo usando delete

4º- Fase final
Reinicie o seu computador e pronto você já está limpo . "OBS: O Backorifice quando se instala gera um arquivo chamado windll.dll que se aloja em c:\windows\system\windll.dll. se você quiser pode apagalo também após o final da fase 3."

NetBus

1º-Como detectar o Netbus
No prompt do dos digite c:\>netstat -nap tcp se aparecerem as portas 12345 e 12346 em listening você está infectado pelo Netbus. obs: As portas podem ser mudadas facilmente mas geralmente ele usa a 12345 e 12346

2º-Procurando e Removendo o arquivo infectado
O programa infectado se aloja no no registro do windows . Digite em executar : regedit Clique em "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVerssion/Run" clique duas vezes em cada pasta até chegar em /Run .O programa infectado pelo netbus geralmente pode ter o nome de explorer.exe ou patch.exe perceba que ele pode ser renomeado e aparecer com outro nome nessa lista, ,mas é facíl saber qual é pois ele se apresenta com o comando /nomsg no final . EX : patch.exe /nomsg .Tenha certeza de saber para que servem cada um desses programas em sua lista pois eles são os que o windows executa quando começa e eles ficam na barra de baixo em ícones pequenos no lado direito da sua tela como o icq, realplayer, e outros que você tiver . Clique no que você não sabe para que serve e tem no final /nomsg e delete ele . Sai do regedit reinicie o seu computador e depois delete o arquivo infectado em explorar arquivos .

Sockets de Troie

1º -Como detectar e remover o ST versão 1
Para detectar a presença do programa servidor, você pode usar o Regedit (clique em iniciar, executar e digite regedit na caixa de diálogo) para checar se existem valores inseridos como:

Load MSchv32 Drv = C:\WINDOWS\SYSTEM\MSchv32.exe

na seguinte chave de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Quando você deletar essa chave ou valor, previnirá que o ST seja inicializado quando você resetar ou ligar seu computador novamente. Para remover completamante o servidor de sua máquina, feche o programa servidor, faça isso pressionando Ctrl-Alt-Del e você verá a lista de tarefas, então dê um clique em "MSchv32.exe" e escolha "finalizar tarefa", então vá até o seu diretório \Windows\System e apague o arquivo "MSchv32.exe".
Estas recomendações são baseadas na versão original do ST, saiba que o servidor pode ter qualquer nome que seu agressor quiser e pode ser instalado em outros diretórios. Caso você não encontrou os arquivos descritos a cima, será necessário você usar um programa específico para removê-lo.

2º - Como detectar e remover o ST versão 2
Para detectar e eliminar a versão 2 do ST, pressione as teclas Ctrl-Alt-Del e procure por tarfas com os nomes "rsrcload.exe", "mgadeskdll.exe" ou "csmctrl32.exe". Feche estes programas e delete os arquivos:

c:\windows\rsrcload.exe
c:\windows\system\mgadeskdll.exe
c:\windows\system\csmctrl32.exe
     Isto é suficiente para inibir a ação do ST, mas se você quer uma limpeza total use o Regedit e elimine as chaves que foram inseridas pelo ST.
     Logicamente esta explicação é válida se a sua pasta onde está o windows seja c:\windows, alguns computadores podem ter outros nomes como c:\win ou ainda c:\win98 e por aí vai. Neste caso faça as substituições apropriadas quando estiver procurando pelos arquivos certo?. Espero que este texto tenha ajudado você.
     Nota: Um importante e perigoso recurso que foi adicionado ao ST (também presente no BO) é o IP sweeping. Quando este recurso é ativado o cliente irá escanear um range de IPs definidos pelo usuário e tentará procurar servidores ativos. Em outras palavras, basta você sentar e esperar até que o cliente ache um IP vulnerável para atacar

por Douglas Lima

CERRAR