23 October 2009

ट्रोजन वैताग !!!

माझा मित्र नवरात्रात घरी आला होता.त्याला माझ्या कॉम्प्युटर मध्ये असलेली मस्त पैकी गाणी ऐकवली, त्याला ती आवडली सुद्धा .तो म्हणाला मला ही सर्व गाणी हवी आहेत...आटा मी पेन ड्राइव्ह आणला नाही पण परवा घेऊन येतो म्हणाला...

दोन दिवसांनी तो त्याचा पेन ड्राइव्ह घेऊन आला... मी नेहमी प्रमाणेच तो पेन ड्राइव्ह माझ्याकडील अँटिव्हायरसने स्कॅन करून पाहिला... त्या पेन ड्राइव्ह मध्ये काहीही त्रासदायक किडे सापडले नाहीत...(मी नेहमी याच विचारात,की माझा अँन्टीव्ह्यायरस सर्वात मस्त...व्हीडीएफ कपॅसिटी १७ लाखा पेक्षा जास्त आहे त्यामुळे नो चिंता.) पण हीच ती वेळ होती जेव्हा तो वळवळणारा किडा माझ्या कॉम्प्युटर मध्ये शिरला !!! आणि मला पत्ता सुद्धा लागला नाही.मित्र मस्त पैकी गाणी घेऊन गेला आणि मी माझा पिसी शटडाऊन करून मोकळा झालो...मला काय माहीत होते की आता जेव्हा मी पुन्हा माझा काँप्युटर सुरू करीन तेव्हा काय होणार आहे ते !!!

दुसरा दिवस उजाडला... नेहमी प्रमाणेच सकाळी झोपेतून उठल्यावर जरा मिपा वरती डोकावण्याची इच्छा प्रबळ झाली,आणि मी माझा पिसी चालू केला.मी नेहमी फायरफॉक्सच वापरतो...आयई वापरून तर जमाना झाला आहे.इंटरनेटचे कनेक्शन चालू केले आणि मिपा मिपा खेळण्यास सुरू करणार तेव्हढ्यात... कुठूनतरी अचानक आयई चे पेज अचानक उघडले...आणि समोर www. thenews*****. com ही साईट उघडली.(मुद्दाम इथं त्या साईटचे संपूर्ण नाव दिलेले नाही.) च्यामारी ही काय नविन भानगड आहे ? असा विचार टाळक्यात आला. आधी वाटले की चुकून कुठे तरी क्लिक झाले असेल व त्यामुळेच ही साईट उघडली गेली असेल... पण मी तर फायरफॉक्स उघडले होते आणि ही साईट मात्र आयई मध्ये उघडली होती...आता मात्र माझ्या लक्षात आलं होत की काही तरी लोच्या झालेला दिसतोय !!!

काही वर्षांपूर्वी माझ्या भावाच्या पिसी मध्ये असाच काहीसा त्रास निर्माण झाला होता आणि तो मी सोडवला देखील होता,त्यामुळे त्यावेळी नक्की काय केलं होत हे आठवायचा प्रयत्न केला...थोड्या प्रमाणात आठवलं देखील आणि त्याप्रमाणेच मी माझ्या काँप्युटर मध्ये शोध घेण्यास सुरुवात केली...सी-विंडोज हे असल्या त्रासाचं बर्‍याच वेळा निवासस्थान असतं.बरीच शोधा शोध केली पण काही कलू हाती लागेना.(बर्‍याच वेळा याच लोकेशन मध्ये एखादी एचटीएम अथवा एचटीएमएल फाइल जमा झालेली असू शकते जी अशा पद्धतीने आयईचे वेब-पेज रिडायरेक्ट करते.)बरीच खटपट करून सुद्धा हाती काहीही सुगावा लागला नाही !!! जेव्हा पण मी माझे इंटरनेट कनेक्शन चालू करायचो तेव्ह्या तेव्ह्या आयई ची वळवळ सुरू व्ह्यायची. आता कुठे माझ्या वैतागवाडीला सुरुवात झाली होती...

आता जी भानगड सुरू झाली आहे ती नक्की कशाने सुरू झाली असेल याचा विचार करण्यास सुरुवात केला... टाळक्यात बॅकट्रेस मारला असता मित्राला गाणी दिलेला दिवस आठवला !!! त्या दिवसानंतरच ही वैतागवादी सुरू झाली होती... मित्राला फोन लावला आणि त्याच्या पिसीमधे असा काही त्रास होतोय का ते विचारले...मित्र म्हणाला...वाटतो तर आहे...पाहून सांगतो.(तो होता त्याच्या हापिसात्,तो घरी येणार कधी,आणि मला सांगणार कधी ?तो पर्यंत असेच बसायचे का ?)शेवटी परत माझी शोध यात्रा सुरू केली.

आता मला कळलं होत की जेव्हा जेव्हा मी नेट कनेक्शन चालू करतो तेव्ह्या तेव्हा हा प्रकार सुरू होतो...मग मी माग काढण्यास सुरुवात केली.आता सगळ्यात पहिली गोष्ट मी केली ती म्हणजे जेव्हा आयई ती साईट ओपन करते तेव्ह्या मध्यावरच ते पेज मी उघण्याचे थांबवले.(पान पूर्ण उघडून द्यायचे नाही.)मग त्या आयईच्या : फाइल==> प्रॉपर्टीज या ऑप्शनवरती क्लिक केले तेव्हा अ‍ॅड्रेस युआरएल मिळाला :--- res://C:\WINDOWS\system32\shdoclc.dll/navcancl.htm#http://www.thenews*****.com/index.php/components/

ह्म्म्...आता काय लोणचं घालायचं का या अ‍ॅड्रेस युआरएल चे??? काय करावं बरं ? असा इचार केला. ;) तेव्हा मग विचारवाणी जागृत झाली आणि तिने गुगलबाबा यांची मदत घ्यावी अशी आज्ञा दिली आणि मी ती मानून शोध मोहीम सुरू केली.वरती जो अ‍ॅड्रेस युआरएल दिला आहे तो तसाच,नंतर थोडासा त्यात बदल करून गुगलबाबाला कामाला लावले...मग त्याची फलनिष्पत्ती अनेक पर्याय देण्यात झाली...ज्या ज्या साईट्स माझ्या कामाच्या वाटायला लागल्या त्या त्या मी वाचत सुटलो... काही फोरम मध्ये शिरल्यावर मला कळले की माझ्या सारखेच अनेक लोक या वळवळ्या ट्रोजन मुळे वैतागलेले आहेत...मी काही उपाय सापडतो का ते शोधत राहिलो.हाती काही विशेष माहिती लागली नाही.पण नक्की शोध कशाचा घ्यायचा आहे हे मात्र समजले होते.

जो पर्यंत काही योग्य माहिती मिळत नाही तोपर्यंत हा त्रास एखाद्या व्हायरस, ट्रोजन किंवा स्पायवेयर ने होत असेल तर तसाही शोध घ्यावा असा विचार केला.(कारण वैतागवाडीचे नक्की कारण अजून मला समजलेच नव्हते...होता तो फक्त अंदाज.)मग पहिले काम केले माझा अँटिव्हायरस ज्याला मी सर्वोत्तम समजतो होतो तो अनइन्स्टॉल केला... नंतर वेगवेगळे दोन अँटिव्हायरस टाकून पाहिले. (नॉड ३२,अ‍व्हास्ट). ह्या दोन्ही अँटिव्हायरसने स्कॅन मारून काहीही फायदा झाला नाही. नो डिटेक्शन.

अ‍ॅड्रेस युआरएल मधली shdoclc.dll ही फाइल इन्फेक्टेड झाली असावी का ? ती डिलीट मारून पाहावी का ? याच फाइल मुळे सगळी भानगड होत असेल का ? असे बरेच विचार माझ्या टाळक्याने केले.गुगलबाबावर जाऊन या फाइल बद्दल माहिती मिळाली आणि ती सिस्टिम फाइल असून तिच्यामुळे त्रास सुरू होत नसावा या विचारा पर्यंत मी पोहचलो.आता काय करायचे? चला स्पायवेयर-स्पायवेयर-खेळून बघूया असा नविन विचार पुन्हा टाळक्यात प्रकट झाला...मग काय स्पाय बॉट,फोरमवर वाचलेले आणि सुचवलेले काही अजून सॉफ्टवेयर्स्,रूटकिट रिमूवर,हायजॅक धिस(याचे लॉग फोरमवर असलेल्या लॉगशी तपासून पाहिले.),सी-क्लीनर, ऍडव्हान्सं सिस्टिम केयर्.स्पायवेयर डॉक्टर.इ. इ. डाउनलोड केले आणि वापरून पाहिले.काही विशेष फायदा होताना दिसत नव्हता...एखादं दुसरा दिवस नेट कनेक्ट केले की आयई आपोआप उघडत नसे,,,मला वाटायचे चला सुटला बहुतेक त्रास एकदाचा...पण कसलं काय पुन्हा तो त्रास सुरू व्ह्यायचाच...दरवेळेला असंच वाटायचे की आता परत ते वेब पुन्हा उघडणार नाही आणि तो त्रास संपला आहे...पण कसले काय!!! आता मी वैतागलो...साला फॉरमॅटच मारून टाकूया..ना रहेगा बास ना बजेगी बासुरी.

घरी मदरबोर्ड,साऊंड ड्रायव्हरच्या सीडीज शोधून ठेवल्या...पण फॉरमॅट करा परत विंडोज लोड करा आणि बाकीचे हवे असलेले प्रोग्रॅम परत इन्स्टॉल करा...शिवाय यात लागणारा वेळ या सर्वांचा पुन्हा एकदा विचार केला.मग दुसरा विचार केला की एव्हढा काय विशेष त्रास आहे का ?त्यासाठी कशाला फॉरमॅट वॉरमॅट करा...जितके दिवस चालतो आहे तितके दिवस चालवू...

पण तरीही कसही करून हा त्रास थांबला पाहिजे असेच वाटत होते.जालावर शोध घेऊन सुद्धा अजून परिणामकारक उपाय सापडला नव्हता !!! आणि आता काहीही झाले तरी मी हा प्रॉब्लेम सोडवल्या शिवाय शांत बसणार नव्हतो...परत विचार करायला सुरुवात केली. होमपेज हायजॅक होणे ही आयई वापरण्यासाठी नवी गोष्ट नाही.मग तसे झाले असेल तर काय करून पाहिले पाहिजे? काही आयई साठी असणारे हॉट-फिक्स टाकून पाहिले...परिणाम शून्य... आयई अनइन्स्टॉल करून रिइन्स्टॉल करून पाहिले...परिणाम शून्य...आयई ७ इन्स्टॉल केले...परिणाम शून्य...सर्विसपॅक ३ टाकलेले नव्हते ते टाकून पाहिले...परिणाम शून्य...फायरफॉक्स सुरू केले की तरच असे होते असा आता वाटायला लागले...(फायरफॉक्स मधील प्ल्गइन किंवा अ‍ॅड्-ऑन्स चा देखील हा प्रताप असू शकतो असे वाटले म्हणून ते ही अनइन्स्टॉल करून रिइन्स्टॉल करून पाहिले... परिणाम शून्य...मग काही फोरमवर वाचले की जावाचा त्रास असू शकतो...म्हणून लेटेस्ट जावा व्हर्जन टाकले, नको असलेले फालतू जुने जावा काढून टाकले...परिणाम शून्य... होस्ट फाइल चेक करून पाहिली...परिणाम शून्य...रजिस्ट्रीमधे HCU-SOF-MIC-IE-MAIN,HLM-SOF-MIC-IE-AboutURLs,HLM-SOF-MIC-IE-MAI,HLM-SOF-MIC-IE-Search या सर्व ठिकाणी काही वेगळी स्ट्रींग एंट्री दिसतेय का तेही पाहण्यास सुरुवात केली.आता तर मी अगदी इरेला पेटलो...असेच अनेक प्रयोग करता करता मी स्पायवेयर डॉक्टर या सॉफ्टवेयर ने स्कॅन मारला असता Bazus नावाचा प्राणी दिसला, हा ट्रोजन होता.पण या आधी जेव्हा स्कॅन मारला होता तेव्हा तो डिटेक्ट होऊन डिलीटवला होता...मग पुन्हा कसा काय इथे परत दिसला...परत त्या परजीवी प्राण्याला डिलीटवला...आणि परत स्कॅन मारला... तरी हा भाऊ परत तिथे हजर !!!...लॉग फाइल वरुन या किड्याचे ठिकाण मला कळले ते होते...HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon इथे एक एंट्री सापडली ती होती,"taskman" with a value similar to "C:\RECYCLER\S-1-5-21-3028898713-081331... आता योग्य पाथ मिळाल्याची खात्री पटली होती.डबल क्लिक केले असता path like C:\RECYCLER\S-1-5-21-3028898713-0813311981-684376638-1852\nissan.exe मिळाला...ही रजिस्ट्रीची एंट्री डिलीटवली... २ दिवस काही त्रास दिसला नाही...वाटले सुटलो एकदाचा पण कसलं काय !!! पुन्हा आयई ऑटो पेज ओपनचा त्रास सुरूच... वैताग आला च्यामारी...पुन्हा रजिस्ट्रीमधे शिरलो...तर टास्कमॅनची एंट्री परत दिसली...अरेच्च्या...रजिस्ट्री मधली एंट्री रिजनरेट होतेय याचा अर्थ अजून त्रासाचे संपूर्ण उच्चाटन झालेले नाही हे मला उमगले...परत गुगल बाबाचा आधार घेतला आणि nissan.exe असा सर्च मारल्या नंतर एका ब्लॉगवर माझ्या त्रासाचे समाधाकारक उत्तर सापडले...तिथे दिलेले काही कमांड टायपुन पाहिले...काहीही फरक पडला नाही.शेवटी अनलॉकर हे सॉफ्टवेयर डाउनलोड केले.कारण "C:\RECYCLER\ हे सिस्टिमचे हिडन फोल्डर असून त्यातील काही एन्ट्रीज तुम्हाला डिलीटवता येत नाहीत पण या सॉफ्टवेयरचा वापर करून ते सिस्टिमपासून अनलॉक होते...त्यामुळे शेवटी त्यातील एंट्री S-1-5-21-3028898713-0813311981-684376638-1852\nissan.exe एकदाची उडवली आणि रक्तबिज सारखा परत परत उगवणारा तो ट्रोजन किडा शेवटी एकदा कायमचा ठेचला गेला.शिवाय अजून याची खातरजमा करण्यासाठी मॅलवेयरबाईट हे सॉफ्टवेयर रन करून पाहिले तेव्हा ह्या किड्याची राहिलेली अजून एक निरुपद्रवी एंट्री डिलीटवली...माझा प्रिय अ‍ॅन्टीव्ह्यायरस लोड करून अपडेटवला...अजून काही किडे मिळाले...ते देखील ठेचले...आणि मी वेबपेज ऑटोरिडायरेक्ट होण्याच्या त्रासातून मुक्त झालो...तेही विंडोज फॉरमॅट नकरता !!!

काही लिंक्स :--- http://www.malwarebytes.org/

http://www.safer-networking.org/en/download/index.html

http://www.ccleaner.com/

http://www.iobit.com/advancedwindowscareper.html

बाकी जाता जाता :--- इव्हीएम मशीन आणि ट्रोजन

http://voiceofsikkim.com/2009/08/03/evm-could-be-tampered-with-by-installing-a-programme-through-a-trojan-horse-netindia/

http://www.indianexpress.com/news/evms-can-be-tampered-proves-hyderabads/490785/

http://www.scribd.com/doc/6794194/Expert-Committee-Report-on-EVM



मदनबाण.....