ඇයි Virus මෙච්චර වද දෙන්නේ?

ඔන්න කාලෙකට පස්සේ පෝස්ට් එකක්. අද නම් කියලා දෙන්න යන්නේ. Virus ගැන පොඩි විස්තරයක්. 

ඔයාලට මතක ඇති කාලයක් තිබුනා Folder Options Hide කරන virus එකක්. ඒත් virus එකක් Folder Options Hide කරන්නේ මොකටද? ඕක හදපු කෙනා මොකද කොහේවත් තියෙන Computer එකක Folder Options Hide කරන්න දගලන්නේ. 

උදාහරණයක් විදියට හිතමු C:\windows\system32\ වල notepad.exe කියලා තියෙන්නේ virus එක. හැබයි අපි මේක සැක හිතලා notepad.exe delete කරොත් මොකද වෙන්නේ. එක නිකම්ම අයින් වෙනවා. එක නිසා හොද ක්‍රමයක් තමයි notepad.exe එක hidden file එකක් විදියට තියෙන එක. හැබැයි වැරදියලාවත් user Show Hidden Files දාගෙන මේ notepad.exe එක දැකලා මේක delete කරොත් ? එහෙනම් එක නවත්තන්න හොදම විදිය තමයි Folder Options කියන menu එක hide කරන එක. 

මේක කරන්න නම් Registry Editor ගැන පොඩි දැනුමක් තියෙන්න ඕන. Registry Editor එක හොයාගන්න පුලුවන් Start menu එකේ run එකට ගිහිල්ලා regedit කියලා type කරලා enter කරාම. මේකේ Computer කියලා tree එකක් තියෙනවා. අපිට ගොඩාක් වෙලවට වැදගත් වෙන්නේ HKEY_CURRENT_USER හා HKEY_LOCAL_MACHINE විතරයි. HKEY_CURRENT_USER එකේ මොනා හරි වෙනස් කමක් කරාම log වෙලා ඉන්න userට විතරයි එක බලපාන්නේ. HKEY_LOCAL_MACHINE එකේ වෙනස්කමක් කරොත් එක අදාල Computer එකටම බලපානවා. එතන වෙනස්කමක් කරනවානම් Administrator කෙනෙක් වෙන්නම ඕන.

හරි දැන් Registry Editor එක ගැන දන්නවානේ.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

එක හොයාගන්න. හරි දැන් දකුනු පැත්තේ තියෙන panel එකෙ free තැනක right click කරලා new=>REG_DWORD එකක් හදාගන්න. ඒකේ නමට NoFolderOptions දෙන්න. දැන් එක උඩ double click කරලා එකේ අගය ලෙස 1 දෙන්න. දැන් PC එක restart කරන්න (Log off කරල ආයිත් log උනත් ඇති). දැන් My Computer ගිහිල්ලා බලන්න Folder Options පේන්න තියෙනවාද කියල. නෑනේ? Virus එකකින් කරනෙනත් ඔය දේම තමයි. අපිට ඕනනම් පුලුවන් Registry Editor එකේ අපි කලින් වැඩ කරකර හිටපු තැනට ගිහිල්ලා NoFolderOptions එකට 0 දැම්මානම්යි Folder Options පේන්න ගන්නවා.

හැබැයි Virus වල Thread එකක් අතුලේ ගොඩාක් වෙලාවට infinite loop එකක් වැඩකරනවා. එකෙන් කරන්නේ හැම තත් 1කටම හෝ තත්2 කට සැරයක් check කරලා බලනවා NoFolderOptions වල තියෙන අගය 1ද කියලා. 0 තිබුනොත් එයා 1 දානවා. ඉතින් අපි ගිහිල්ලා ඔක වෙනස් කරාට වැඩක් වෙනෙනේ නැ මොකද තත්පරයක් යන්න කලින් එක ආයේත් එම අගය වෙනස් කරනවා.

ඊලගට තියෙන Task Manager. හිතන්න Computer එකේ notepad එක වැඩ කරනවා. Task Manager (Ctrl + Shift + Esc) ගිහිලා එකේ Processes බැලුවාම එතන notepad.exe කියල එකක් තියෙනවා. ඒක right click කරලා End Process click කරොත් notepad.exe කියන process එක නවතිනවා.

Virus එකකටත් මේක පොදුයි. ඉතින් virus කැමති වෙනෙනේ නෑනේ virus process එක කවුරුවත් නවත්තනවට. එක නිසා Task Manager එක block කරනවා. Windows XP වල ඔයාල සමහර විට දැකලත් අති Task Managerයන්න හැදුවාම error message එකක් එනවා Task Manager has been disabled by your administrator කියලා. Windows 7වලනම් මුකුත් එන්නේනැ. Task Manager පෙන්නන්නේ නැතුව ඉන්නවා. Registry Editor open කරගෙන HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

වලට යන්න. සමහර Policies විට System වල කියලා key එකක් නොතිබෙන්න පුලුවන්. එතකොට තියෙන්නේ Policies උඩ right click කරලා new=>key ගිහිල්ලා ඒ හැදෙන key එකේ නම System කියල දෙන්න.

දැන් කරන්න තියෙන්නේ කලින් විදියටම DisableTaskMgr කියල REG_DWORD value එකක් හදලා එකේ අගය 1 දෙන්න

F5 ඔබලා Registry Editor refresh කරලා දැන් කරලා බලන්න Task Manager යන්න පුලුවන්ද කියල. බෑ නේද? Virus කියන දේවල් මහා ප්රාiතිහාර පානෙනේ නෑ. එවලින් කරන්නේ මේ අපි කරන දෙවල්මයි. ඉතින් ඔය විදියට පුලුවන් virus එකට තමන්ගේ process එක නවතන එක වලක්වාගන්න.

ඊලගට තියෙනේ Startup . ඔන්න දැන් අපි notepad එක open කරා ( notepad එක virus කියල හිතන්න ). ඊලගට එක Computer ආපහු restart කරාමත් ඔය notepad.exe එක open වෙන්න ඕන. ඉතින් virus එකන් කරන්නේ virus එක startup එකට දගන්නවා. ඒකට කරන්න HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run වලට යන්න. කලින් විදියටම අලුතින් notepad කියාල String Value එකක් හදාගන්නවා (***String Value***). notepad එකේ අගය ලෙස C:\windows\system32\notepad.exe කියල දෙනවා.

මෙතන නම් key එකේ නම මොකක් උනත් ප්රiශ්ණයක් නෑ. අගය විතරයි වැදගත් වෙන්නේ. Computer එක restart කරලා බලන්න, Windows Explorer open වෙනකොටම notepad වැඩකරන්න ගන්නවා. ඉතින් ඔය විදියට තමයි virus එක Startup එකේදි වැඩකරන්න ගන්නේ.

ඕක නවත්තගන්න නම් අපි හදපු key එක delete කරත් ඇති. එහෙම නැත්නම් Start menu එකේ run එකට ගිහිල්ලා msconfig කියල type කරලා System Configuration එකට යන්න. එකේ Startup කියන tab එකේ තියෙනවා Windows Explorer load වෙනකොට වැඩකරන්න ගන්න Process මොනාද කියල අනවශ්යt එවා un check කරලා OK කරන්න (Computer එකත් speed වෙනවා).

Virus එක කැමති වෙයිද අපි Registry Editor එක අස්සේ ඇගිලි ගහලා එයාගෙ වැඩ අවුල් කරනවට. ඉතින් ගහන්න තියෙන එකම තුරුම්පුව මොකක්ද? Registry Editor එක block කරන එක. Registry Editor එකේ HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System වලට ගිහිල්ලා කියල DisableRegistryTools REG_DWORD key එකක් හදගෙන අගය විදියට 1 දන්න. දැන් Registry Editor එක close කරලා අයෙත් එකට යන්න.

මාර සීන් එක නේ. යන්න බැනේ? දැන් මොකො කරන්නේ. ඔන්න Challenge එකක් පොරක් නම් Registry Editor එකට යන්න විදියක් හොයාගන්න. මෙතන කරන හැටිත් තියෙනවා.

˙ǝlqɐuǝ sı ɹoʇıpǝ ʎɹʇsıƃǝɹ ʍou ˙ʇı ǝlqɐsıp puɐ slooʇ ƃuıʇıpǝ ʎɹʇsıƃǝɹ oʇ ssǝɔɔɐ ʇuǝʌǝɹd uo ʞɔılɔ ʇɥƃıɹ˙ ɯǝʇsʎs <= sǝʇɐldɯǝʇ ǝʌıʇɐɹʇsıuıɯpɐ <= uoıʇɐɹnƃıɟuoɔ ɹǝsn oʇ oƃ ˙ɹoʇıpǝ ʎɔılod dnoɹƃ lɐɔol uǝdo puɐ ,,ɔsɯ˙ʇıpǝdƃ,, ǝdʎʇ uǝɥʇ unɹ<=nuǝɯ ʇɹɐʇs uǝdo

මෙකත් නිකම් chain එකක් වගේ. Block කරන්න ක්‍රමයක් තියෙනවා නම් එක unblock කරගන්නත් ක්‍රමයක් තියෙනවා. ඒ ක්‍රමයත් block කරන්න ක්‍රමයක් තියෙනවා.