Detecting and Removing Rootkit from Windows XP (हिंदी)

मैं सोचता था की मैं PC security के मामले में मैं बहुत जागरूक user हूँ और मेरे PC पर virus / malware आना बहुत मुश्किल है. सच बात तो यह है की कंप्यूटर इस्तेमाल करने के 15 साल के दौरान मेरे कंप्यूटर कभी भी ज्यादा इन्फेक्टेड नहीं हुए. कभी कभार कोई virus आये भी तो तुरंत पकडे गए और रोकथाम हो जाती थी. इसमें मेरा anti-virus Avira (http://www.free-av.com/en/trialpay_download/1/avira_antivir_personal__fr...) पूरी तरह मेरा साथ देता था. समय के साथ शायद मैं काफी over-confident हो गया और full-system scan रोज़ होने की बजाये, पहले हफ्ते में, फिर महीने में, और फिर तो महीनों में एक बार करने लगा| सुरक्षा के मामले में कंप्यूटर और गाडी में कोई ज्यादा फर्क नहीं है - सावधानी हटी, दुर्घटना घटी!

कुछ दिन पहले मेरी website http://vidyaweb.com और मेरे develop की हुई एक और website http://har-pal.com अचानक बंद हो गयी. जांच करने पर पता चला की कुछ files corrupt हो गयी हैं. corrupt files को ध्यान से देखने पर पता लगा की उसमे कुछ unwanted suspicious patterns हैं. नेट पर research से पता चला की ये एक hack attack है - और attack ftp के रास्ते हुआ है. अब चूंकि ftp का पासवर्ड सिर्फ मेरे पास है तो शक हुआ कि मेरे कंप्यूटर की सुरक्षा और मेरे over-confidence के किले में सेंध लग चुकी है और मेरी वेबसाइट ही नहीं मेरा कंप्यूटर भी hack हो चूका है. थोड़ी और research की तो मेरा शक यकीन में बदल गया| मेरे PC के किले को भेदने के लिए गेम के जरिये आये किसी virus ने FTP client program Filezilla के saved passwords उड़ा लिए थे और फिर उनका इस्तेमाल कर के इन्टरनेट पर मेरी site vidyaweb.com की html और javascript files को compromise किया जा रहा था. दरअसल Filezilla ftp client में आपके latest कनेक्शन आपकी सहूलियत के लिए password सहित store हो जाते हैं ताकि आप बार-बार इस्तेमाल में आपको आसानी हो| ये पता चलने पर मैंने अपने PC को अपने भरोसेमंद anti-virus Avira Personal Edition से full-scan किया तो वाकई कुछ hidden files विद्यमान थीं - मुझे पूरा यकीन हो गया की मेरा कंप्यूटर rootkit से ग्रस्त है - सारे लक्षण इसी और इशारा कर रहे थे.

Rootkit असल में virus / malware की वो system files हैं जो कि virus और खुद को छुपाने का काम करती हैं. इन्हें निकालना आम virus से ज्यादा मुश्किल होता है क्योंकि ये operating system को search, delete इत्यादि के लिए भेजी system calls को बीच में ही intercept (रोककर) करके उनका behaviour बदल देती हैं. इसलिए rootkit हटाने में सबसे पहला step है hidden files पता लगाना! यहाँ पर बता दूं कि यहाँ पर hidden files का अर्थ उनके hidden attribute से नहीं है जिन्हें properties dialog के द्वारा user आराम से बदल सकते हैं. यहाँ पर hidden का अर्थ है कि कुछ files operating system से भी hidden हैं. filesystem और system calls के साथ साथ rootkit windows registry में भी छेड़छाड़ करती हैं - कुछ इस तरह कि इन्हें चलते हुए सिस्टम से डिलीट करना मुश्किल होता है - यहाँ तक कि anti -virus के लिए भी| बहुत बार ये device driver के भेष में होती हैं और windows\system32\drivers folder में पायी जाती हैं और इनका extension भी .sys होता है|

सबसे पहले मैंने http://www.sophos.com/products/free-tools/sophos-anti-rootkit/download/ से download करके sophos anti-rootkit से अपना PC scan किया, उसके बाद http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx से और फिर अपने भरोसेमंद Avira से. तीनो के शक की सूईं दो hidden files kkypqe.sys और frtisc.sys पर और इन्ही की हमनाम hidden registry keys पर थी! Sophos और Avira से बार बार कोशिश करने पर और system restart करने पर भी ये files या तो डिलीट ही नहीं हो रही थीं, या फिर से बन जाती थीं. registry keys भी न तो delete हो पा रही थी और न ही permission change हो पा रही थी| तो हम एक बार फिर से निकल पड़े समाधान की खोज में google की मशाल लेकर| अब पता चला कि PC पर एक बार rootkit आ जाने पर उसे निकालने के लिए दुसरे सिस्टम से बूट करना ही सबसे प्रभावी उपाय है. किस्मत से मेरे PC पर Ubuntu Linux भी installed है. तो बस, PC restart करके कंप्यूटर Ubuntu से बूट किया और Windows installation वाले partition को mount किया और अब ये दोनों files आराम से डिलीट हो गयीं. इसके बाद दोबारा Windows boot किया और anti-virus द्वारा ढूंढी गयी registry keys को permission change करके डिलीट कर दिया.

इसके बाद फिर से Avira से scan किया और जहाँ जहाँ ये files मिलीं (Ubuntu द्वारा बनाये गए C:\Trash-1000 फोल्डर में और Windows System Restore के लिए रखे गए Backups में), वहीँ वहीँ से डिलीट करता गया - deletion में अब कोई दिक्कत नहीं हो रही थी क्योंकि उनकी रखवाली करने वाली registry keys मैं पहले ही डिलीट कर चूका था.

यदि आपके पास Ubuntu installed नहीं है तो निराश होने की आवश्यकता नहीं है...आप चाहे तो ubuntu.com से डाउनलोड कर के Live CD बना सकते हैं. Live CD के द्वारा आप बिना Ubuntu install किये Ubuntu से boot कर सकते हैं और फिर अपना infected Windows partition mount कर सकते हैं| इसके बाद आप अपने anti-virus द्वारा शक के दाएरे में आई hidden files को delete कर सकते हैं. और हाँ, यदि आपको पसंद आये तो आप Ubuntu को अपने Windows के साथ साथ install या बिना install किये इस्तेमाल कर सकते हैं. Ubuntu अपने आप में एक काबिले तारीफ़ operating system है और सबसे बड़ी बात ये open source है और free भी|

Post new comment

The content of this field is kept private and will not be shown publicly.
Type in
While typing, you can press Ctrl+g for switching on-off
  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Lines and paragraphs break automatically.

More information about formatting options