Windows 11: poznaj sztuczki i narzędzia, które pozwolą lepiej wykorzystać system operacyjny. Windows 11 może stać się jeszcze lepszym systemem operacyjnym. Komputer Świat przedstawia Jak sprawdzić, czy dwm.exe jest bezpieczny, czy jest wirusem? Nie możesz być pewien, czy proces dwm.exe działający na komputerze jest wirusem, chyba że się tego dowiesz. Możesz rozpoznać, czy dwm.exe jest wirusem, wykonując następujące czynności: wciśnij Klawisz Win + X klucz do otwarcia Szybkie menu systemu Windows. Trojan, zwany często koniem trojańskim jest rodzajem wirusa, którego zadaniem jest dostanie się na nasze urządzenie, a następnie rozprzestrzenienie się w celu spowodowania jak największych szkód. W tym przypadku nazwa kojarząca się z mitologią grecką jest bardzo trafna. W jaki sposób trojan może znaleźć się na naszym Starsze wersje, oczywiście, nie korygują sytuacji, ale niektóre mają wystarczający zestaw narzędzi do wyszukiwania ukrytych górników. Na przykład: Dr.Web CureIt, Kaspersky Virus Removal Tool lub Junkware Removal Tool. Jeśli nie można było wykryć górnika, ale jesteś pewien, że on tam jest - użyj programu AVZ. Jeśli twój komputer zaatakował trojana, będziesz mógł dowiedzieć się o tym poprzez następujące zmiany na komputerze: Po pierwsze, urządzenie zacznie się restartować bez twojego polecenia. Po drugie, gdy koń trojański wdziera się do komputera, prędkość urządzenia jest znacznie zmniejszona. Zazwyczaj potrzebny jest jeszcze login i hasło, które można zyskać dzięki zainstalowaniu np. trojana na komputerze ofiary. To umożliwia kradzież pieniędzy z jej konta bankowego. Posiadanie dostępu do karty SIM przypisanej do czyjegoś numeru pozwala też na włamanie na profile w social mediach oraz na konta pocztowe, a wraz z nimi W rzeczywistości zainfekowany komputer, jak można się spodziewać, zostanie strasznie uszkodzony po tym, jak zostanie zaatakowany przez tego trojana. Choroba ta nie atakuje samego komputera mobilnego, ale powoduje również inne prowokacje komputerowe dostępne na twoim komputerze, takie jak złośliwe oprogramowanie i adware pasożyty jelitowe. Można również skorzystać z narzędzi do wykrywania podsłuchów, takich jak programy antywirusowe lub specjalne aplikacje do wykrywania podsłuchów. Wszystkie te metody pozwalają na szybkie i skuteczne wykrycie obecności podsłuchu w komputerze. Jak wykryć podsłuch w komputerze: porady i wskazówki dla początkujących Najpierw wyłącz komputer lub laptop i odłącz kabel zasilający od komputera. Sugeruje się również wyjęcie pakietu baterii z netbooka lub laptopa. Odkręć pokrywę procesora lub laptopa za pomocą śrubokręta z końcówką gwiazdkową (Torx). Na płycie głównej komputera lub laptopa można znaleźć baterię CMOS typu przyciskowego. Pobierz narzędzie do usuwania. Aby całkowicie usunąć Brontok, zalecamy użycie SpyHunter. Może pomóc w usuwaniu plików, folderów i kluczy rejestru Brontok oraz zapewnia aktywną ochronę przed wirusami, trojanami, backdoorami. Wersja próbna SpyHunter oferuje BEZPŁATNE skanowanie w poszukiwaniu wirusów i jednorazowe usunięcie. jaWddL. W sieciach kilkuset operatorów na terenie 45 krajów znaleziono ślady działania specjalistycznego oprogramowania o nazwie Pegasus służącego do inwigilacji przez służby specjalne. Polska również jest na liście “ofiar”. Poniżej analizujemy polskie ofiary i odpowiadamy na pytanie, czy macie się czego bać, jeśli korzystacie z telefonu komórkowego w Polsce. Pegasus – rządowy trojan stworzony przez Izrael Wczoraj grupa The Citizen Lab opublikowała raport, w którym wymieniono operatorów z różnych krajów w których sieciach namierzono inwigilowane przez służby osoby — oto lista operatorów z Polski: Polkomtel Sp. z Orange Polska Spolka Akcyjna T-mobile Polska Spolka Akcyjna FIBERLINK Sp. z PROSAT Vectra Netia SA Zacznijmy jednak od początku i przytoczmy incydent o jakim informowaliśmy Was już dwa lata temu w artykule pt. “Poważna dziura w iPhonach i iPadach z której korzystały rządy wielu państw do nękania aktywistów i dziennikarzy“. Bo to od incydentu opisanego w tym artykule wszystko się zaczęło, a wczorajszy raport jest bezpośrednim następstwem tamtych wydarzeń. Wpadka służb ujawnia Pegasusa 2 lata temu wpadkę zaliczyły służby Zjednoczonych Emiratów Arabskich. Dzięki ich nieudolności świat dowiedział się o tym, że klienci rządowego trojana o nazwie Pegasus stworzonego przez izraelską firmę NSO Group dysponowali łańcuchem 3 nieznanych publicznie podatności na system iOS (tzw. 0-day). Służby ZEA próbowały za pomocą tych podatności przejąć kontrolę nad telefonem Ahmeda Mansoora, międzynarodowego obrońcy praw człowieka. Ale im nie wyszło. bo na nasze szczęście, a ich nieszczęście, Mansoor był w przeszłości wielokrotnie atakowany i się chłopak dotkliwie nauczył, aby nie klikać w linki z podejrzanych wiadomości. Dlatego treść podejrzanego SMS-a przesłał do Citizen Labu, a tam analitycy na kontrolowanym przez nich urządzeniu uruchomili exploita, przeanalizowali z jakich dziur korzysta i donieśli o nich firmie Apple. Parę dni później Apple wypuściło łatkę, która automatycznie wgrała się na wszystkie iPhony i iPady. I w tym momencie wszyscy wykorzystujący Pegasusa do różnych operacji, czuli służby specjalne z wielu krajów, równocześnie zakrzyknęły “o kurza twarz!“. Bo przez nieudaną akcję służb ZEA, spalony został exploit, z którego korzystały także służby specjalne innych krajów, do operacji poważniejszych niż piętnowanie opozycji politycznej, np. inwigilowania środowisk terrorystycznych lub grup przestępczych handlujących narkotykami. Co robi Pegasus? Świetnie wyjaśnia to poniższa infografika: Trojan wykonuje tzw. “remote jailbreak”, osadza się na telefonie ofiary i wykrada dane takie jak: treści wiadomości i e-maili, adresy oglądanych stron internetowych, zdjęcia dane aplikacji takich jak Facebook, FaceTime, Skype, GMail, Kalendarz, WhatsApp, WeChat. Po dwóch latach Pegasus wciąż infekuje, także w Polsce Z najnowszego raportu dowiadujemy się, że po ujawnieniu ataku na Mansoora dwa lata temu, znaczna część infrastruktury firmy NSO Group i serwisy internetowe autorstwa służb różnych krajów (użytkowników Pegasusa) w popłochu zniknęły z sieci. Ale nie na długo. Po kilku miesiącach infrastruktura rządowego trojana znów zaczęła się pojawiać online, ale w trochę zmienionej postaci (tzw. wersja 3): Citizen Lab opracował nową metodę identyfikacji serwerów internetowych odpowiedzialnych za infekcję ofiar Pegasusem (stare serwery zawierały pliki / oraz / jak również serwerów C&C, czyli tych do których przesyłane są dane z zainfekowanych Pegasusem telefonów (tu wykorzystano autorski fingerprinting połaczeń TLS o kryptonimie Athena). Dzięki temu powstała lista 1014 domen wskazujących na serwery zarządzane przez różne służby z różnych krajów w celu obsługi ofiar Pegasusa. Badacze oszacowali, że serwery te są zarządzane przez 36 niezależnych od siebie grup (czyt. służb różnych krajów). Infekcje z terenów Polski przypisano grupie, którą nazwano ORZELBIALY. Ponieważ jednak badacze nie mieli bezpośredniego dostępu do tych serwerów (mogli je, jak każdy z nas, obserwować tylko z “zewnątrz”), to nie byli w stanie zajrzeć w logi i określić ile ofiar “kontroluje” (czyt. inwigiluje) dana grupa serwerów. Wykorzystali więc sprytną technikę szacowania bazującą na analizie cache serwerów DNS (tzw. DNS Cache Probing, która z powodzeniem jest wykorzystywana do oszacowania ofiar botnetu). Serwery DNS-y ujawniły liczbę ofiar w każdym z krajów Skoro serwery, z którymi kontaktuje się smartfon zainfekowany Pegasusem są obsługiwane przez HTTPS, to muszą mieć wykupione domeny. A żeby połączyć się z serwerem, na który wskazuje domena, każe urządzenie musi skorzystać z usługi DNS. Po wpisaniu nazwy domeny (lub kliknięciu w link), zanim zostanie nawiązane połączenie z serwerem docelowym, jego adres urządzenie pozyskuje z serwera DNS, wysyłając “zapytanie DNS” w stylu: na jaki IP wskazuje domena Te zapytania przez większość serwerów DNS są przez pewien czas zapamiętywane (cache’owane), aby serwer DNS nie musiał za każdym razem ustalać adresu IP kontaktując się z innymi serwerami (tzw. root serwerami i serwerami autorytarnymi dla danej domeny). Ot, kwestia wydajności. Jeśli więc odpytujemy jakiś serwer DNS o domenę i odpowiedź od tego serwera DNS dostaniemy z jego cache’a, to wiemy, że ktoś wcześniej już o tę domenę ten serwer odpytywał. Jak sprawdzić, czy odpowiedź przyszła z cache serwera DNS? Czas przechowywania danej domeny w cache serwera DNS reguluje tzw. TTL, który ustawia właściciel domeny. Aby sprawdzić jaki TTL jest dla domeny niebezpiecznika, wystarczy wydać zapytanie do autorytarnych serwerów DNS obsługujących naszą domenę (dla uproszczenia skorzytamy tylko z 1 naszego serwera: dig +noall +answer @ 300 IN A TTL to 300 sekund. Serwery DNS w sieciach operatorskich nie powinny więc naszej domeny utrzymywać w swoim cache dłużej niż przez ten czas. Zapytajmy więc serwer DNS operatora łącza, z którego korzysta autor tych słów: dig +noall +answer 207 IN A i powtórzmy po 5 sekundach: dig +noall +answer 202 IN A Wniosek? Jeśli TTL w odpowiedzi jest mniejszy niż 300, to znak, że przed nami ktoś serwer DNS naszego operatora o domenę niebezpiecznika odpytywał. A jeśli sprawdzamy domenę rządowego trojana i uzyskujemy mniejszy TTL, to znak, że mamy w sieci kogoś, kto jest nim zainfekowany (bo próbował się do jego serwera połączyć). I w uproszczeniu, dokładnie na takim, regularnym odpytywaniu serwerów DNS poszczególnych operatorów w poszczególnych krajach o poszczególne domeny powiązane z Pegasusem opiera się badanie. Nie jest to metoda doskonała, bo czasem serwery DNS operatorów nie odpowiadają na zapytania spoza sieci operatorskiej i trzeba polegać na tzw. forwarderach. Raport obszernie tłumaczy jak badacze odsiewali false-positives i jak podchodzili do false-negatives, warto się z tym zapoznać. My tylko zaznaczymy, że oku badaczy uciec mogły ofiary, które korzystają z z małych sieci operatorskich (badacze nie dotarli do ich DNS-ów) mają na sztywno wpisane popularne “globalne” DNS-y takie jak te od Google ( Cloudflare ( OpenDNS czy Quad9 ( — globalne DNS-y nie były weryfikowane, bo takie badanie nie ujawniłoby kraju pochodzenia ofiar. Kim są ofiary Pegasusa w Polsce? Nie wiadomo. Nie wiadomo nawet, czy to rzeczywiście Polacy. To co jest pewne, to zidentyfikowanie aktywności zainfekowanych smartfonów w polskich sieciach. Ale w polskich sieciach przebywać mogą także osoby z zagranicy: dyplomaci, biznesmeni, itp. I to ich telefony, a nie telefony Polaków, mogły wygenerować aktywność, którą namierzył zespół badaczy z Citizen Lab. Pocieszające jest to, że według badaczy, infekcje na terenie naszego kraju nie są związane z motywami politycznymi. To że na liście są wszyscy operatorzy telefonii komórkowej nie powinno dziwić. Wystarczy, że zainfekowana osoba korzystała z internetu w PKP i już serwery DNS T-Mobile, a zatem ten operator, wskakują na listę. A może nie był to pociąg, zwykła kawa w jednej z kawiarnii, która swoim klientom udostępnia internet przez router z kartą SIM operatora Plus? Więcej na temat ofiar z pewnością mogliby powiedzieć sami operatorzy, oczywiście jeśli logują zapytania do swoich DNS-ów i ustalą, pod kątem jakich domen należy przeczesać logi. Bo Citizen Lab nie ujawnił wszystkich domen. W dodatku, część z ofiar na terenie naszego kraju mogła być po prostu użytkownikami VPN-ów, które na świat “wychodziły” w sieciach polskich operatorów. Do danych z raportu należy więc podchodzić z pewną dozą niepewności, o czym zresztą autorzy raportu lojalnie ostrzegają, a sama NSO Group “ustalenie krajów ofiar” w oświadczeniu komentuje tak: the list of countries in which NSO is alleged to operate is simply inaccurate. NSO does not operate in many of the countries listed. Te sprzeczności wynikają właśnie z tego, że NSO mogło sprzedać trojana rządowi Sri Lanki, a ten zainfekował nim Polaków. Polska będąca na liście nie oznacza, że to Polskie służby są klientem NSO, a że ktoś (może Polacy, a może nie) w naszym kraju utrzymuje infrastrukturę do odbioru danych od trojana, a w sieciach naszych krajowych operatorów znaleziono aktywność ofiar (może Polaków, a może nie) zainfekowanych Pegasusem. Nie wiadomo, czy polskie służby, ale wiadomo, że nie przestępcy NSO Group utrzymuje, że ich produkt jest sprzedawany jedynie służbom specjalnym w zgodzie z prawem, a nie firmom prywatnym, czy grupom przestępczym. Dodatkowo, wbudowano w niego “zabezpieczenia”, które uniemożliwiają “prace na terenie USA”. To jest o tyle ciekawe, że Citizen Lab zidentyfikował ofiary z USA i nawet sam z powodzeniem zainfekował Pegasusem telefon z terenu USA będąc podpiętym do amerykańskiego operatora. NSO Group podobno ma też “panel zewnętrznych ekspertów”, który ocenia, czy służbom danego kraju można sprzedać Pegasusa (czy nie będzie on tam wykorzystywany jako “narzędzie opresji politycznej”). Nie wiadomo kto w panelu zasiada, ale po raporcie Citizen Laba można przypuszczać, że nie robi swojej roboty dobrze… Jak należy to rozumieć? Czy polskie służby potrafią hackować telefony? Brak 100% pewności, co do tego, czy służba z danego kraju jest lub nie jest klientem NSO Group jest problemem. I nawet jeśli założymy, że na mapie ofiar Polska świeci się na żółto, nie dla tego, że nasze służby korzystają z Pegasusa a dlatego, że na terenie naszego kraju przebywają obywatele innych krajów zainfekowani Pegasusem, to nie możemy zakładać, że polskie służby nie mają zdolności do ataku smartfonów. Zauważyć należy, że tego typu rozwiązań co Pegasus jest więcej. I nawet jeśli nasze służby nie korzystają z Pegasusa, to mogą korzystać z innych rozwiązań, które w dodatku potrafią atakować nie tylko iPhony, ale również Androidy …i w zasadzie wszystko inne co się da wykorzystać do inwigilacji. Przypomnijmy, że w 2015 roku przejrzeliśmy wykradzione z włoskiej firmy Hacking Team dane, w tym korespondencję e-mail i ujawniliśmy, że jednym z klientów włoskiego trojana rządowego było CBA. I to od 2012 roku (!). Służba za oprogramowanie do hakowania zapłaciła 250 000 Euro, czyli ponad milion złotych. Chętne na zakup były także inne służby, ale wygląda na to, że w porę zorientowały się, że Hacking Team nie jest tak piękny jak przedstawiają to ich prezentacje sprzedażowe. My mamy nadzieję, że polskie służby, dla naszego bezpieczeństwa, trzymają rękę na pulsie i regularnie badają nowe rozwiązania. A po stwierdzeniu przydatności kupują je i z nich korzystają wyłącznie do walki z przestępcami. Mamy też nadzieję, że nasze służby opracowują swoje autorskie (czyli niewspółdzielone z innymi) techniki ataku bazujące na podatnościach 0-day. Ludzi, którzy byliby w stanie takie podatności odkrywać w popularnym oprogramowaniu mamy w Polsce wielu. Część z nich także w służbach. Czy Pegasus infekuje także iPhony? Tak, Pegasus to przede wszystkim oprogramowanie szpiegujące urządzenia firmy Apple. Ale jeśli obawiasz się inwigilacji, to nie ma znaczenia czy korzystasz z Androida czy iPhona. Każdy system operacyjny ma nieodkryte błędy i odkryte ale nieupublicznione błędy (tzw. 0-day). Właśnie z tych drugich korzysta Pegasus i co gorsza, pewne kombinacje błędów pozwalają mu tak mocno osadzić się na przejętym smartfonie, że przetrwa on nawet aktualizację systemu operacyjnego — a zatem do pewnego stopnia może nawet ochronić się przed łatką wypuszczoną przez producenta, która łata te dziury, które pozwalają mu funkcjonować. Jest to jednak dość trudne i dlatego telefony ofiar trzeba często (tj. po aktualizacji) ponownie zainfekować. Jeśli spojrzymy na tabelę cen, po których jeden z brokerów dziur skupuje je od różnych crackerów, a potem sprzedaje np. takim firmom jak NSO Group, to zauważyć można, że najcenniejsze (bo najbardziej poszukiwane) są podatności właśnie na system iOS. Dlaczego? Bo system ten jest lepiej dopracowany niż Android (głównie ze względu na silną integrację z doskonale znanym producentowi sprzętem), a więc trudniej znaleźć w nim błąd. A jak już błąd się znajdzie, to czas jego życia może być krótki (częste aktualizacje nie tylko szybko łatają błędy, ale także uszczelniają system “paraliżując” działanie złośliwego oprogramowania). Wniosek: jak naszybciej wgrywaj aktualizacje, a jeśli w trakcie aktualizacji pojawiają się jakieś problemy, to wiedz że coś się dzieje. Jeśli obawiasz się inwigilacji, nie tylko przez służby, to przeczytaj te poradniki: 19 rad jak bronić się przed inwigilacją w Polsce Jak zabezpieczyć telefon przed podsłuchem? 15 porad na różne stopnie paranoi, które ochronią Twój sprzęt i Twoje dane, także w podróży Czy mój telefon jest zainfekowany Pegasusem? Infekcja następuje po kliknięciu w link. Jeśli kiedyś kliknąłeś w jakiś link, to możesz być ofiarą. Ale najprawdopodobniej nie jesteś. Bo Pegasus nie jest wykorzystywany do inwigilowania przypadkowych osób lub obywateli na masową skalę. Ofiary są wybierane przez służby (a każda nowa licencja to koszt ok. 100 000 PLN). Osoby o podwyższonym ryzyku to: Działacze polityczni (nie tylko opozycja) Dziennikarze (zwłaszcza śledczy) Prawnicy Osoby podejrzane o członkostwo w zorganizowanych grupach przestępczych Osoby podejrzane o terroryzm O ile służby w normalnych krajach powinny skupiać się przede wszystkim na przestępcach, to zdarzało się, także w Polsce, że policja podsłuchiwała opozycję, a służby dziennikarzy. Znane są też przypadki, kiedy oficerowi jakiejś służby coś głupiego strzelało do głowy i zaczynał inwigilować np. swoją partnerkę. Bo akurat maiał jedną wolną licencję oprogramowania typu Pegasus. Prywata niestety istnieje wszędzie — wystarczy wspomnieć informacje ujawnione przez Snowdena, które pokazały, że z systemów służących do masowej inwigilacji agenci NSA korzystali aby zbierać informacje na temat podobających im się kobiet lub sąsiadów… Wykorzystanie Pegasusa w celach szpiegostwa też nie należy do najlepszych pomysłów. Służby wielu krajów mają dostęp do tego narzędzia, wiec są w stanie je do pewnego stopnia wykryć. Jeśli więc nie należysz do powyższych grup społecznych, to raczej powinieneś spać spokojnie w tym przypadku. Ale aby z całą stanowczością stwierdzić, czy Twój telefon jest zainfekowany, trzeba go poddać specjalistycznej analizie, co jest procesem dość skomplikowanym, a jeśli na taką analizę będziesz się umawiać z zainfekowanego urządzenia, to najprawdopodobniej specjaliści i tak nic nie znajdą, bo służby zawczasu odinstalują Ci trojana. Infekcję najprościej można by wykryć przez monitoring ruchu wychodzącego z telefonu (raz na jakiś czas zainfekowany telefon musi przesłać służbom paczkę z Twoimi nowymi zdjęciami, zapisami rozmów, itp.). Ale niestety, Citizen Lab nie opublikował listy wszystkich zidentyfikowanych przez siebie serwerów wykazujących cechy bycia serwerami Pegasusa. Nie zrobił tego, bo Pegasus wykorzystywany jest też zgodnie z prawem do monitoringu grup przestępczych i publikacja tych adresów IP mogłaby powiadomić przestępców, że są na celowniku. Citizen Lab opublikował w swoim raporcie tylko domeny, które wskazywały na wykorzystanie Pegasusa do inwigilacji motywowanej politycznie. W Polsce takich domen się nie dopatrzono. Innymi słowy, jeśli podejrzewasz, że możesz być monitorowany, to nie masz za bardzo jak ustalić tego ponad wszelką wątpliwość, więc po prostu kup nowy telefon. I nie klikaj w nim żadnych linków. Właśnie dlatego, jeśli jesteś np. dziennikarzem albo politykiem, to do prowadzenia “wrażliwych operacji” powinieneś korzystać z osobnego sprzętu. Na “niewrażliwym” telefonie możesz klikać w co popadnie, bo nawet jak służby będą go kontrolować, to nie znajdą na nim niczego, co Cię kompromituje. Długofalowo, zmiana telefonu na nowy na nic się nie przyda, jeśli Ty nie będziesz wiedział jak wykrywać i reagować na ataki (nie tylko ze strony służb). Gdybyś chciał się tego nauczyć, to zapraszamy na nasz 3h, widowiskowy i do bólu praktyczny wykład, w ramach którego odpowiadamy na pytanie “Jak nie dać się zhackować?” i przekazujemy praktyczne porady jak zabezpieczyć swój sprzęt i bezpiecznie korzystać z internetu w celach służbowych i prywatnych, także w trakcie zakupów online, bankowości internetowej i kontaktów z najbliższymi. Najbliższe terminy wykładu to: GDAŃSK, 11 października, KATOWICE, 5 listopada KRAKÓW, 29 listopada WARSZAWA, 8 listopada WROCŁAW, 4 grudnia Miejsce możesz zarezerwować klikając tutaj. A w ogóle, to w nic nie musisz klikać, aby się zainfekować Warto zauważyć, że nie zawsze do infekcji konieczne jest kliknięcie w link. Pegasus, w zależności od dostępnych exploitów, na niektórych platformach może rozprzestrzeniać się także wykorzytując do ataku np. MMS-y. Samo ich odczytanie (bez klikania w linki!) może mieć tragiczny skutek. Takie dziury w przeszłości już były (por. 950 milionów telefonów z Androidem można zhackować jednym MMS-em. Jeśli rozpatrzymy także przypadek służb, które Pegasusa wykorzystują zgodnie z prawem i we współpracy z operatorem GSM (a to też już się zdarzało w przeszłości), to w ogóle nie trzeba nikogo nakłaniać do kliknięcia w link aby go zainfekować — operator, jeśli chce, może selektywnie danej osobie przekierować połączenie na serwer infekujący Pegasusem wykonując tzw. atak Man in the Middle, co znacznie ułatwi robotę służbom. I właśnie dlatego powinniście korzystać z VPN-ów (wychodząc na świat w kraju, którego służby na was nie polują ;) — my standardowo polecamy NordVPN, który ma klienty na każdy system operacyjny. Ale VPN to tylko jedna z metod obniżania ryzyka i podnoszenia poprzeczki tym, którzy chcieli by Was zaatakować. Aby “nie dać się zhackować” rzeczy do zrobienia jest więcej… Aktualizacja 21:31 Jak podaje TVN, istnieje kolejna faktura opłacona przez CBA, tym razem na 33 miliony złotych. Jej przedmiotem jest najprawdopodobniej właśnie Pegasus, a opisywane przez CitizenLab operacje i kryptonim ORZELBIALY — wiele na to wskazuje — należą do CBA. Przeczytaj także: W informatyce mianem Konia Trojańskiego określa się program, który podstępnie robi więcej niż się spodziewa jego użytkownik. Nazwa tego szkodnika pochodzi od podstępu jaki zastosowali Grecy w czasie wojny trojańskiej. Udając, że odstępują od oblężenia, pozostawili wielkiego drewnianego konia, którego Trojanie sami wprowadzili do swojego miasta. Wewnątrz oczywiście byli ukryci żołnierze i takim podstępem przejęli miasto. Dokładnie tak samo ma działać program lub skrypt, którego uruchomi na swoim komputerze nieświadomy użytkownik. Sam program zazwyczaj jest bardzo ciekawy, wykonuje przydatne funkcje i jest chętnie rozpowszechniany. Problem w tym, że oprócz oczekiwanego działania robi rzeczy, których się nikt nie spodziewa. Najczęstsze funkcje jakie realizuje Koń Trojański (trojan horse) to: Instalowanie backdoora, czyli furtki przy pomocy której w przyszłości będzie możliwe włamanie do komputera. Zbieranie informacji z komputera ofiary o jego systemach zabezpieczeń, ścieżkach dostępu i hasłach Blokowanie zabezpieczeń, dezaktywacja programów antywirusowych i powiadomień o stanie zagrożenia Koń Trojański może być jednocześnie wirusem i niszczyć dane na komputerze lub szyfrować zawartość dysku. Koń Trojański to fragment kodu dołączony do innego programu, zwykle długi czas nie zdradza swoich destrukcyjnych funkcji. Program do którego go wszyto jest zwykle wartościowy dla użytkownika i dlatego beztrosko z niego korzysta. Oprócz programów może się znajdować w skryptach powłoki, Perlu a niekiedy nawet w skryptach JavaScript i VBScript, tu jest jednak łatwy do wykrycia z powodu czytelności kodu. Wykrycie Trojana jest bardzo trudne, często nie rozpoznaje ich program antywirusowy. Dopóki nie podejmie destrukcyjnych działań, użytkownik nic o nim nie będzie wiedział. Zazwyczaj konie trojańskie działają jako aplikacja klient-serwer. Jedna część programu została zainstalowana na komputerze ofiary, a druga działa u hakera. Może on zdalnie wysyłać polecenia, a zaatakowany komputer będzie je wykonywał bez zgody właściciela. Proste Trojany mogą do komunikacji wykorzystywać Telnet. W aplikacji klient - serwer stosowany jest standardowy protokół TCP/IP. Gdy na zainfekowanym komputerze zainstaluje się backdoor do klienta wysyłana jest wiadomość elektroniczna z danymi potrzebnymi do dostępu. Klient wysyła rozkazy, które trafiają pod podany adres i udostępniony port. Interfejs klienta jest bardzo rozbudowany, posiada wiele funkcji które zdalnie może uruchamiać haker. Dostęp do komputera ofiary zwykle zabezpieczony jest hasłem, tak aby nikt inny nie mógł z tej furtki korzystać. Koń trojański może mieć funkcje przeszukiwania otwartych portów, tak się dzieje gdy hakerowi nie zależy na konkretnej osobie, tylko szuka dowolnego komputera w sieci. Konie trojańskie są ciągle modyfikowane, tak aby nie rozpoznał ich program antywirusowy ani użytkownik. Niektóre mutacje to bardzo zaawansowane programy szpiegowskie. Większość działa na podobnych zasadach jak ich pierwowzór, dlatego przedstawimy tu kilka najpopularniejszych, aby poznać mechanizmy ich działania i sposobu usuwania. T5Port Ten niewielki program jest jednym z pierwszych w swojej kategorii, do zarządzania wykorzystuje Telnet. Posiada tylko kilka komend sterujących i jest niewykrywalny przez antywirusa. Charakterystyczne jest, że korzysta z portu 31337 i ma niezmienne hasło: satan Podstawowe możliwości programu to uruchomienie aplikacji na zdalnym komputerze, wydawanie komend systemowych, zawieszenie systemu, zamknięcie sesji lub reset serwera. Usunięcie Trojana możliwe jest ręcznie, przez sprawdzenie skanerem co dzieje aktywności na porcie 31337, usunięcie odpowiedzialnych wpisów w rejestrze i skasowaniu pliku z katalogu systemowego. BOWL Program składa się z dwóch plików i do komunikacji używa Telnetu. Łączenie polega na wpisaniu IP atakowanego komputera i wartości portu: 1981. Polecenia wydaje się komendami znanymi z MS DOS. Typowe funkcje to: generuje sygnał dźwiękowy, wyświetlenie zawartości plików, przemieszczenie między katalogami, czyszczenie ekranu, uruchamia w trybie MS DOS uruchomienie programu, usuwanie plików, zamknięcie sesji, podanie komunikatu błędu, zawieszenie systemu, pobieranie plików z komputera ofiary na przeglądarkę hakera, wyszukiwanie haseł i zmiana klawiszy myszki. Usunięcie z systemu możliwe jest manualnie przez zmiany w podanym kluczu rejestru i skasowaniu pliku: C:\WINDOWS\ ACID SHIVER To bardzo rozbudowany program, który potrafi sam wygenerować Trojana na komputerze ofiary. Składa się z dwóch plików: ACiD i serwera (zwykle: Program konfiguracyjny tworzy serwer i serwer pocztowy SMTP. Aplikacja udostępniana jest z kodem źródłowym, dlatego powstają ciągle nowe wersje i jest rozwijany. Trojana można usunąć manualnie i jest rozpoznawany przez aktualizowane programy antywirusowe. Oprócz funkcji typowych dla konia trojańskiego, ACID SHIVER potrafi pobierać pliki z serwera, ukrywać w menadżerze aplikacje o podanym identyfikatorze, zbierać informacje u użytkowniku i jego komputerze. BACK ORIFICE Ten program to rozbudowane narzędzie do administrowania komputerem ofiary. Posiada konsolę tekstową i ładny interfejs do aplikacji klient-serwer. Aplikacja uruchamia się pod systemem Windows 95 i 98. Serwer instaluje się w sposób niezauważalny w katalogu systemowym. Po konfiguracji rejestruje się jako jedna z usług w autostarcie. Następnie przydziela sobie port 31337 z którego nasłuchuje. Back Orifice może wykonywać następujące działania: uruchamia tekstowe aplikacje gotową do nasłuchu przez port i Telnet, zatrzymuje uruchomioną wcześniej aplikację, podaje listę aktywnych aplikacji, tworzy katalog na serwerze, wyświetla listy katalogów, kasuje pliki i katalogi, wyszukuje pliki, loguje sekwencję wciskanych przez ofiarę klawiszy, uzyskuje dostęp do komputera przez przeglądarkę, odłącza i przyłącza serwer ofiary od sieci, przekierowuje połączenia TCP/IP, tworzy i usuwa klucze w rejestrze, łączy serwer ze wskazanym IP i zapisuje do pliku ściągnięte dane. Back Orifice jest rozpoznawany i usuwany przez większość programów antywirusowych. DEEP THROAT REMOTE Troja działa na komputerach z Windows 95 i 98, składa się z dwóch plików: serwera i klienta . Serwer może wykonywać następujące funkcje: Otwieranie i zamykanie CD-ROM, otwieranie okienek dialogowych, ukrywanie paska startowego Windows, ściągnięcie dowolnego przez FTP, np. Cute FTP lub WS_FTP. Uruchamianie programów na serwerze, resety serwera oraz zbieranie danych od ofiary. MASTER'S PARADISE Serwer może być ukryty w dowolnej aplikacji. Zazwyczaj w grach działających na Windows 95 i 98. Funkcje Trojana to: Podsłuchiwanie ofiary, podglądanie wprowadzanych znaków, nagrywanie dźwięku przez mikrofon. Przesyłanie wybranych plików na serwer i wiele innych. Trojan jest rozpoznawany przez programy antywirusowe. Wirusy w systemie Windows to nadal realne zagrożenie, ale można zrobić wiele, aby im zapobiec. Jeżeli mimo wszystko podejrzewasz, że jakiś wirus mógł wkraść się do Twojego komputera oto, jak się go pozbyć. Prawie każdy użytkownik (zwłaszcza wieloletni) doświadczył kiedyś jakiejś infekcji za pomocą złośliwego oprogramowania na swoim komputerze. Jeżeli wiesz, co zrobić samemu możesz pozbyć się wirusa ze swojego komputera PC lub laptopa. Jeśli nie - doradzimy Ci w tym tekście, jakie czynności należy wykonać. Źródło: Nie masz pewności, czy Twój komputer został zawirusowany? Oto objawy, które mogą wskazywać na obecność złośliwego oprogramowania na Twoim urządzeniu: system Windows znacząco spowolnił; widzisz wiele wyskakujących powiadomień, które wcześniej się nie pojawiały;pojawiły się programy, których nie instalowałeś i nie możesz ich zidentyfikować;zmieniła się tapeta/ekran blokady oraz ustawienie skrótów na pulpicie. Jak usunąć wirusa z laptopa lub komputera PC? Jeżeli masz zainstalowane oprogramowanie antywirusowe, uruchom je, upewnij się, że posiadasz aktywną subskrypcję, a na komputerze zainstalowana jest najnowsza wersja programu i uruchom skanowanie. Jeśli antywirus wykryje złośliwe oprogramowanie, wówczas powinien podjąć próbę jego usunięcia. Jeżeli nie poradził sobie z tym lub nie wykryto żadnego zagrożenia, a Ty nadal podejrzewasz, że z Twoim systemem operacyjnym coś jest nie w porządku, postępuj zgodnie z poniższymi wskazówkami. Ważne, aby nie uruchamiać ponownie komputera, dopóki nie zakończy się całego procesu. Zobacz również:Windows 11: sprawdzamy, co się zmieni w systemie? / same poprawkiLista niebezpiecznych aplikacji na Android. Tych aplikacji nie instaluj! [ robić, gdy skradziono Twoją tożsamość online? Oto, co musisz zrobić, jeśli nadal możesz uruchomić system i dostać się do swojego konta oraz masz dostęp do Internetu: 1. Niektóre typy złośliwego oprogramowania będą aktywnie próbowały powstrzymać użytkownika przed ich usunięciem. Aby temu zapobiec pobierz i zainstaluj program Pobierz i zainstaluj najnowszą wersję Malwarebytes. Uruchom program i przejdź do Settings > Protection > Scan for rootkits. Powróć do panelu administracyjnego i kliknij Scan Zainstaluj i uruchom Malwarebytes ADWcleaner, a następnie kliknij przycisk Scan (skanuj). Źródło: malwarebytes Jak usunąć wirusa, gdy system Windows nie uruchamia się? Jeżeli nie możesz dostać się do systemu Windows, aby uruchomić skanowanie antywirusowe będziesz musiał utworzyć narzędzie odzyskiwania, które do działania nie wymaga systemu Windows. Aby to zrobić będziesz potrzebował dostępu do drugiego komputera z dostępem do sieci oraz pustą płytę CD/DVD lub pendrive. Pobierz narzędzie do odzyskiwania danych Norton Bootable Recovery Tool. Źródło: Norton Jeżeli będziesz używać płyty CD lub DVD, która umożliwia zapisywanie, włóż ją do napędu drugiego (działającego) komputera. Przejdź do pobranego pliku Norton Bootlable Recovery Tool. Kliknij prawym przyciskiem myszy plik i wybierz opcję Burn disc image. W programie Windows Image Burner wybierz dysk i kliknij przycisk Burn (nagraj). Jeżeli zamierzasz używać dysku USB zamiast płyty CD, pobierz i zainstaluj narzędzie Rufus. Pamiętaj, że wszystkie dane znajdujące się na pamięci masowej USB (pendrive) zostaną wymazane, więc jeśli masz tam ważne pliki skopiuj je w inne miejsce. Następnie uruchom program Rufus i w polu Opcje wybierz z rozwijanego menu Obraz ISO oraz obok pola Utwórz dysk startowy przy użyciu. Kliknij ikonę dysku i przejdź do pliku Norton Boot Recovery Tool. Wybierz plik Kliknij przycisk Start, a później OK. Gdy posiadasz już płytę CD/DVD lub pamięć USB z wgranym na nią Norton Bootable Recovery Tool włóż ją do zainfekowanego komputera. Uruchom go, ale zamiast pozwolić na normalny start systemu Windows uruchom menu rozruchu (boot menu). Wywołuje się je najczęściej za pomocą wciśnięcia przycisku F12. Dokładne informacje znajdziesz w instrukcji obsługi płyty głównej/komputera lub w internecie wpisując model komputera/płyty głównej w wyszukiwarce. Po uruchomieniu boot menu wybierz napęd (w przypadku, gdy korzystasz z płyty CD/DVD) lub pamięć USB, w celu rozruchu z wybranego nośnika. Pojawi się menu startowe NBRT. Wybierz opcje Boot, a następnie wykonaj polecenie rozpoczęcia skanowania. Po ukończeniu procesu, który może trwać nawet ponad godzinę (wszystko zależy od ilości, rodzaju oraz pojemności dysku/dysków znajdujących się w Twoim komputerze) zostaną Ci zaprezentowane wyniki skanowania i możliwość naprawienia/usunięcia zagrożeń. Pamiętaj, że Twoich działań nie będzie można cofnąć. Dlatego właśnie na każdym kroku podkreślamy, jak ważne jest regularne wykonywanie kopii zapasowych. Wybierz zagrożenia, które chcesz naprawić i kliknij przycisk Fix (napraw). Potwierdź klikając OK. Po zakończeniu procesu kliknij Reboot (uruchom ponownie). Jak zabezpieczyć komputer z systemem Windows przed wirusami? Najlepszym sposobem na zapewnienie sobie bezpieczeństwa przed wirusami jest upewnienie się, że Twój komputer posiada aktualny program antywirusowy. Windows 10 posiada wbudowaną zaporę oraz program antywirusowy Windows Defender. Takie rozwiązanie powinno zabezpieczyć Twoje urządzenie przed złośliwym oprogramowaniem, ale zawsze możesz również skorzystać z płatnych narzędzi, które zapewnią Ci jeszcze większy poziom bezpieczeństwa przed wirusami i złośliwym oprogramowaniem. Na jakie postawić? To podpowiadamy w naszym rankingu "Najlepszy antywirus". Przestrzegamy jednocześnie przed otwieraniem załączników do wiadomości e-mail, chyba, że masz pewność, co zawierają i od kogo pochodzą. Pamiętaj również, aby pobierać oprogramowanie jedynie z zaufanych i bezpiecznych stron internetowych. Przed pobraniem sprawdź dwukrotnie adres strony www, aby potwierdzić, że przeglądasz prawdziwą stronę, a nie łudząco podobną atrapę stworzoną przez hakerów. Dodatkowo przed logowaniem do banków, sklepów internetowych i innych miejsc posiadających i przetwarzających Twoje dane osobowe sprawdzaj, czy dana strona posiada certyfikat bezpieczeństwa. Najlepsza odpowiedź Stwórz mi skan twojego kompa programem OTL wg. tej instrukcji: [LINK] . Gotowe skany wklej na i linki do tych wklejek wklej mi na mój jest programem diagnostycznym dzięki któremu mogę sprawdzić czy coś ci siedzi. Odpowiedzi ja kiedys zrobilem programem odkurzacz z pc swiat antywirusy wykrywają wirusy no zawsze ;d jakiego masz antywirusa? Jeżeli antywirus nie wykryje zagrożenie to jest mało prawdopodobne aby był Uważasz, że ktoś się myli? lub

jak wykryć trojana na komputerze