چگونه بفهمیم که هک شده‌ایم؟ (قسمت دوّم)

پسوند SHS 

فایل‌های Scrap   نیز می‌توانند فرمان‌های گنجانده شده را پنهان کنند.
این یک آزمون ساده است: از Notepad.exe یک کپی بگیرید و آن را روی Desktop
خود قرار دهید. WordPadرا باز کنید.Notepad.exeرا کلیک کنید و آن را به سمت
سند باز شده WordPadبکشید. روی Editکلیک کنید و Package Object و سپس
Edit packageرا انتخاب کنید. روی Edit و سپس Command Line کلیک کنید.

در کادر، دستوری مانند format a:/autotest را تایپ کنید و روی OKکلیک کنید.
آیکن نیز می‌تواند از این پنجره تغییر یابد. از پنجره خارج شوید، این کار سند را به روز
خواهد کرد. روی Notepad.exeکلیک کنید و آن را به عقب به سمت Desktopبکشید.
فایلی را که ایجاد شده (Scrap) به Readme.txt تغییر نام دهید.

حالا شما آنچه را که شبیه یک فایل متنی است دارید. اگر این فایل اجرا شود درایو A: را
فرمت خواهد کرد. همانگونه که در مثال بالا برای پسوندهای میانبر PIF دیده شد، هکر
می‌تواند از فرمان‌های خطرناک‌تری استفاده کند.

* روش‌های Trojan در هنگام راه اندازی:

روش‌های راه اندازی استاندارد:

اکثر افراد از راه‌های متفاوتی که هکرها برای راه اندازی فایل‌های Trojanاستفاده می‌کنند آگاه نیستند. اگر هکری کامپیوتر شما را با یک Trojan آلوده کند، نیاز به انتخاب یک روش راه‌اندازی خواهد داشت، بگونه‌ای که در زمان راه‌اندازی مجدد کامپیوتر شما Trojanبارگذاری شود. روش‌های معمول راه‌اندازی شامل کلیدهای اجرایی registry، فولدر راه اندازی ویندوز، WindowsLoad= یا run=lines یافته شده در فایل win.iniو shell=lineیافته شده در system.iniویندوز می‌باشند.

روش‌های راه اندازی خطرناک:

از آنجایی که فقط تعداد اندکی از این روش‌های راه اندازی وجود دارند، هکرهای زیادی را یافته‌ایم که در پیدا کردن روش‌های جدید راه‌اندازی افراط می‌کنند.
این شامل استفاده از تغییرات خطرناکی در سیستم registryمی‌باشد، که در صورتی که فایل Trojanیا فایل همراه آن از بین برود سیستم را بصورت بلااستفاده درخواهد آورد. این یک دلیل استفاده نکردن از نرم افزار ضد ویروس برای از بین بردن Trojanهاست. اگر یکی از این روش‌ها استفاده شود و فایل بدون ثابت کردن registryسیستم از بین برود، سیستم شما قادر به اجرای هیچگونه برنامه‌ای پس از راه اندازی مجدد کامپیوترتان نخواهد بود.

قبل از آنکه سراغ registryبرویم لازم به توضیح است که یک فولدر به صورت C:/WINDOWS/StartMenu/Program/StartUp وجود دارد که هر فایلی در اینجا باشد هنگام راه اندازی ویندوز اجرا خواهد شد. توجه داشته باشید که هرگونه تغییری می‌تواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما می‌گوییم انجام دهید. برای دستیابی به registryبه منوی start>run> بروید و "regedit" را بدون علامت " " تایپ کنید و روی OKکلیک کنید. در registryچندین مکان برای راه اندازی Startupوجود دارد که لیستی از آنها را در اینجا می آوریم.

HKEY_CLASSES_ROOT/exefile/shell/open/command] ="/"%1/" %*"

HKEY_CLASSES_ROOT/comfile/shell/open/command] ="/"%1/" %*"

HKEY_CLASSES_ROOT/batfile/shell/open/command] ="/"%1/" %*"

HKEY_CLASSES_ROOT/htafile/Shell/Open/Command]="/"%1/" %*"

HKEY_CLASSES_ROOT/piffile/shell/open/command] ="/"%1/" %*"

HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command] ="/"%1" %*"

HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command]="/"%1/" %*"

HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command]="/"%1/"%*"

HKEY_LOCAL_MACHINE/Software/CLASSES/htafile/Shell/Open/Command]="/"%1/"%*"

HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command]="/"%1

اگر این کلیدها مقدار "/"%1/"%*" را نداشته باشند و به جای اجرای فایل در هنگام راه اندازی به "/"Server.exe %1/" %*" تغییر یابد به احتمال زیاد یک Trojanاست.

روش راه اندازی ICQ:

روش راه اندازی دیگری که امروزه استفاده از آن معمول است شناسایی شبکه ICQ می‌باشد. بسیاری از کاربران ICQ نمی‌دانند که هکر می‌تواند یک خط پیکربندی را به ICQ اضافه نماید تا با هر بار بارگذاری شدن برنامه Trojan نیز راه اندازی شود. به عنوان آزمایش مراحل زیر را انجام دهید:

ICQ را باز کنید. روی آیکن ICQ کلیک کنید و preference را انتخاب نمایید. روی Edit launch List کلیک کنید. روی Add کلیک کنید. روی Browse کلیک کنید. فایلی را برای اضافه کردن به Windows/notepad.exe بیابید که به کار این آزمایش بیاید. روی Open و سپس OK کلیک کنید. زمانی که شما ICQ را راه اندازی مجدد می‌کنید فایل اجرا خواهد شد.