Detectando e tirando trojans "Sem anti virus e Firewalls"

Na última matéria, mostrei como os nossos programas de proteção comumente usados podem ser falhos. Vou mostrar agora um método para você detectar programas maliciosos no seu computador e retirá-los. Para isso usaremos três programas:

VALHALA- sucessor do antigo Anti-Trojans. Monitora portas específicas, possui scanneamento, ping, entre outros recursos. Pode ser baixado na seção de downloads hackers da .INVASAO. ou no SuperDownloads (www.superdownloads.com.br).

FPORT - Um programa que consegue mapear as portas abertas no seu computador para processos, mostrando assim que programa abriu cada porta.

REGEDIT- Editor do registro que vêm junto com o Windows.Primeiro usaremos a opção de scanneamento do Valhala no nosso próprio computador, usando o endereço de loopback (127.0.0.1) e selecionando Scanneamento inteligente, para que o programa cheque as portas cadastrados em sua lista:

Encontramos várias portas abertas. Vamos checar então: meu sistema operacional é Windows XP e o utilizo como servidor. Só de ter essa informação já posso excluir várias portas: a porta 25, que é meu servidor de envio de e-mail, a porta 110, que é meu servidor de recebimento de e-mails, a porta 135 que é o RPC (remote procedure call), a porta 389 do LDAP, a 1025 do Listen e a 5000 (mesmo mostrando acima que podem existir trojans que a utilizem) usada pelo Universal Plug n Play. Ora, sobrou apenas a porta 666 (que o trojan servercompress.exe da matéria anterior abriu). Obs: São todas portas TCP.

No computador de um usuário comum que utilize Windows 98 por exemplo, apareceram bem menos portas. Geralmente é comum as porta 139 (Netbios), 445 (Netbios por TCP/IP) estarem abertas (o que pode significar outro risco, leia a matéria sobre o r3x e o languard), e as portas de 1000 a 4000, quando você está utilizando programas como ICQ e Internet Explorer. Para fazer esse teste, esteja desconectado para que não tenha muitas portas abertas para confundir. Vamos rodar o FPORT em modo DOS e ver suas informações:



Ahá ! Descobri o “safado”. Observe que o Fport mostrou que o programa c:\windows\system32\servercompress.exe abriu e está usando a porta 666. Esse outro svchost.exe é apenas um serviço do Windows XP, não um trojan. Muito bem: descoberto o nome do arquivo como vamos fazer para mandá-lo para o espaço? Não apagar o arquivo de cara, pois como ele está sendo executado o Windows não permitirá. Eu poderia também procurar o nome do arquivo nos processos que estão sendo executados e fechar o processo, mas o trojan continuaria sendo iniciado pois ele está no registro. Vamos executar o regedit então (iniciar / executar / digite regedit) e mandar que ele procure por servercompress.exe.




Prontinho, procuramos e apagamos todas as chaves que apareceram no resultado. Logo após reiniciamos o computador, e o trojan não estará mais na memória. Agora é só ir e apagar o arquivo servercompress.exe . E assim retiramos esse programa maldoso da máquina.

Duvidas deixe comentarios.

Credits | By -=Vitinho=-