Phòng chống Trojan

Trong một thời gian dài trên Internet có thể máy bạn sẽ bị “dính” Trojan mà bạn không hề hay biết – một điều vô cùng nguy hiểm, mà bạn lại chẳng muốn thế tí nào. Để đề phòng bạn phải kiểm tra PC của bạn có nhiểm trojan hay không một cách thường xuyên. Bạn có thể làm điều này bằng các chương trình Anti Virus và Anti Trojan ( Chẳng hạn như TFAK, AVP, TDS...) như kết quả hầu như luôn luôn bằng 0, vì các chương trình ấy không bao giờ tìm được bất cứ con...
Nội dung trích xuất từ tài liệu:
Phòng chống TrojanCách phòng chống Trojan hữu hiệu :Trong một thời gian dài trên Internet có thể máy bạn sẽ bị “dính” Trojan mà bạn khônghề hay biết – một điều vô cùng nguy hiểm, mà bạn lại chẳng muốn thế tí nào. Để đềphòng bạn phải kiểm tra PC của bạn có nhiểm trojan hay không một cách thường xuyên.Bạn có thể làm điều này bằng các ch ương trình Anti Virus và Anti Trojan ( Ch ẳng hạn nhưTFAK, AVP, TDS...) như kết quả hầu nh ư luôn luôn bằng 0, vì các ch ương trình ấy khôngbao giờ tìm được bất cứ con trojan nào ( ngay cả 1 số chương trình được cập nhật hàngngày). Tôi sẽ chỉ cho các bạn cách check PC của bạn.+ Làm sao tôi có thể biết PC của tôi đã bị nhiễm Trojan ?Đầu tiên, các bạn phải check các cổng (port) của bạn. Điều này có thể thực hiện bởi mộtsố ch ương trình nh ư : Portcheck, Portscanning... hoặc bằng chương trình Netstat trongMS -Dos của Windows.Các bạn mở MS-Dos Commandline ( trước đó các bạn phải offline caí đã) và đánh vàolệnh : netstat-aKế đó các bạn sẽ thấy một vài thứ tương tự như sau :Active ConnectionsProto Local Address Foreign Address StateTCP _:31337 0.0.0.0:45178 LISTENINGUDP _:31337 *:*Hãy nhìn xem, kia là một ch ương trình được “nghe” thấy ở cổng 31337 một chương trìnhdành cho TCP-Connection. Đó là cách chạy đặc thù của các con trojan, chúng đợi mộtacttacker kết nối với chúng và gửi cho chúng các lệnh… Một người giàu kinh nghiệm cóthể nhận biết các cổng mà trojan sử dụng. ( trong trường hợp trên 31337 = BackdoorOffice)Đối với những người chưa có kinh nghiệm, họ sẽ sử dụng những chương trình quét virus.Nhưng sẽ rất khó để tìm được sự tồn tại của trojan.Sau đó bạn cần kiểm tra những ch ương trình đang chạy ( nhưng không ph ải với WindowsTaskmanager – Alt + Ctrl + Del) bởi vì nó có thể tự che giấu mình khi kiểm tra bằngWindows Taskmanager. T ốt hơn là các bạn nên sử dụng một Taskmanager khác để thaythế, chẳng hạn như CCTASK. Các bạn nên khởi động lại máy (reboot) trước khi kiểm tra,vì chúng ta muốn nhìn thấy các ch ương trình được chạy khi Windows khởi động. Nếu bạnphát hiện ra một thứ gì đó đáng nghi, hãy save file đó ở một nơi đặc biệt và xóa nó đi.Một vài khả năng khác ta có thể tìm thấy các con trojan kiểm soát các file system để nócó th ể tự động chạy khi Windows khởi động.Trong các file:Autoexec.bat : file này kiểm soát các lệnh ‘del’ và ‘format’ và các lệnh trong Dos…, giúpcho các file có thể tự chạy khi khởi động Windows. (MS-Dos file)Win.ini : file kiểm soát các lệnh như : ‘load=’ và ‘run=’ câu lệnh này sẽ giúp bạn chạy cácfile mà bạn cho đường dẫn đến.System.ini :file này cho phép sử dụnh lệnh ‘shell=’ để gọi một chương trình khi khởi độngPC.Registry : có một vài khả năng để khởi động một file với sự trợ giúp cua Registry. Bạn cóthể kiểm tra các chương trình bạn muốn bằng ‘Registry.exe’:HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion \RunHKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceNhưng ở đây lại có 3 mục khác:HKEY_CLASSES_ROOT\exefile\shell\open \commandHKEY_CLASSES_ROOT\comfile\shell\open\commandHKEY_CLASSES_ROOT\batfile\shell\open\commandTrong các key này nếu thế vào bằng các đường dẫn đúng thì khi khởi động máy, các fileấy sẽ được chạy. Bạn phải thay đổi các thiết lập này để các con trojan không thể chạyđược.Chú ý, khi bạn thay đổi các thiết lập này, nếu bạn mắc bất cứ lỗi nào thì sau này bạn sẽkhông thể khởi động được file đó.Các mục mặc định th ường là: %1 %*Một vài biểu hiện để phát hiện ra Trojan:+ Biểu hiện khác lạ của PC.+Messageboxes với những nội dung kì quặc, đáng nghi.+Xoá file.+PC ch ạy chậm hơn.+Làm sao để remove Trojan ?Khi đã biết máy mình bị nhiễm trojan các bạn có thể làm theo các bước sau để removenó:1/ Kill chương trình với Taskmanager (rất quan trọng vì một số ch ương trình có khả năngtự khôi phục chức năng Auto Start).2/Xóa bỏ chức n ăng Auto Start.3/Save file ở một nơi khác và xoá nó đi.4/Khởi dộng lại máy và check máy lại xem có Trojan không.5/Nếu có lỗi, khôi phục lại file và khởi động lại máy.6/Gửi con Trojan tới :7/Thay đổi Password của bạn.8/Nếu may mắn, TFAK sẽ sớm tìm ra con trojan này.Nếu các bạn làm đúng theo các ch ỉ dẩn này thì các bạn sẽ phát hiện và remove được99% tất cả các con trojan