Трояны не дремлют….
07.08.12Во все времена с момента своего первого появления в природе компьютерные вирусы (в основной своей массе) обладали той или иной деструктивной функцией. И если раньше она выражалась в удалении файлов на зараженном компьютере, то в последние лет 5-10 существенно увеличилась доля троянов, основная цель которых — либо получить пароли пользователя, либо заставить его заплатить некоторую сумму денег. Последнее часто применяется в сочетании с различными социальными сетями, ведь сейчас трудно найти пользователя интернет, у которого нет (или, по крайней мере, не было) аккаунта ни в одной из социальных сетей.
С одним из таких представителей троянов и пришлось столкнуться на днях.
Предыстория банальна. Знакомые принесли компьютер и пожаловались на то, что им взломали страницы ВКонтакте, с которых рассылали спам, и вот теперь страницы заблокированы, а за разблокировку нужно перечислить деньги на указанные счета в системе WebMoney.
Небольшой допрос показал, что незадолго до этого события кто-то из их домочадцев в поисках какой-то нужной книги скачал EXE-файл (конечно же, название файла соответствовало искомой книге), запустил его на выполнение, а когда ничего (визуально) не произошло , просто удалил.
Увы, далеко не все пользователи, особенно начинающие, знают, что в интернете очень часто трояны и вирусы маскируются под файлы, которые они ищут. Хотя об этом говорилось неоднократно 🙁
В общем, то, что вирус похозяйничал на компьютере — это однозначно.
Проверка компьютера моей традиционной для таких случаев программой CureIt! результат не принесла. Увы, вирусов обнаружено не было, а проблемы с социальной сетью оставались. Более того, попытка войти под своим аккаунтом привела к тому же самому эффекту — “ваша страница взломана, для активации отправьте бла-бла-бла”. Но за свой аккаунт я мог быть 100% уверен, поскольку “висел” под ним со своего компьютера.
В голове начала крутиться мысль, но пальцы рук на этот раз опередили мозг и набрали в командной строке
tracert vk.com
Вы уже поняли, к чему я веду? Если нет, то скажу, что команда tracert отображает маршрут, по которому пакеты проходят от вашего компьютера к заданному серверу.
Полученный результат, собственно, и ожидался. Вместо того, чтобы отправиться в Россию к серверам уже не раз упомянутой незлым тихим словом социальной сети, запрос ушел куда-то совсем в другую сторону (увы, снимок экрана не сделал тогда).
Таким образом, вирус произвел подмену адреса веб-сайта. Трояны выполняют это чаще всего двумя способами:
- либо прописывают “нужные” DNS-сервера в настройки сетевого соединения
- либо вносят необходимую запись в файл hosts
В описываемом случае настройки DNS оказались “чистыми”, значит, причина — в упомянутом файле. По умолчанию он расположен в каталоге
%SystemRoot%system32driversetc
однако этот путь может быть переопределен. Поэтому на всякий случай смотрите в реестре ключ
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath
Как казалось, дело оставалось за малым — открыть этот файл редактором, удалить лишние строки, сохранить и на всякий случай перезагрузиться. Однако нашаливший вирус преподнес еще один сюрприз.
По указанному выше пути действительно находился файл hosts, но …. пустой! Такого не должно было быть. На помощь пришел великий и ужасный Google, благодаря которому и с этим сюрпризом удалось справиться.
Дело, как оказалось, в том, что последние экземпляры подобных вирусов поступают следующим образом. Они делают свои коварные дела с исходным файлом hosts и … прячут его с помощью атрибутов “системный” и “спрятанный”. А чтобы наивный пользователь ничего не смог заподозрить, подсовывают ему “обманку” — пустой файл с таким же самым именем, вот только в нем английская буквочка “о” заменяется на русскую. Визуально отличить невозможно.
После такой подсказки на окончательное удаление следов деятельности вируса из системы ушло не более пяти минут.
Набираю в адресной строке браузера желанный адрес, ввожу логин/пароль — все нормально, вижу свою страницу.
P.S. И напоследок — пароли на аккаунты после такого в любом случае лучше сменить. Ведь они вводились на фальшивой странице. Кто знает, куда они потом уплывут 😉
Не пропустите интересное!
Підписывайтесь на наши каналы и читайте анонсы хай-тек новостей, тестов и обзоров в удобном формате!
Обзор смартфона Oppo A6 Pro: амбициозный
0 
Новый смартфон Oppo A6 Pro — телефон среднего уровня с функциональностью смартфонов премиум-класса. Производитель наделил его множеством характеристик, присущих более дорогим телефонам. Но не обошлось и без компромиссов. Как именно сбалансирован Oppo A6 Pro – расскажем в обзоре.
Лучшие Bluetooth колонки. Подборка моделей в разных ценовых сегментах
0 
Портативная колонка давно перестала быть просто аксессуаром для смартфона или ноутбука. Она стала инструментом для создания атмосферы – от камерной встречи до масштабной вечеринки.
Игру DOOM запустили в проектировщике печатных плат Doom игры
Визуальный стиль KiDOOM выглядит непривычно и сразу вызывает ассоциации с эпохой аркадных автоматов, таких как Atari Battlezone, или с эстетикой Vectrex
Nubia выпустила раскладушку Flip3 и складной Fold — недорогие и с большими аккумуляторами смартфон
Nubia продолжает расширять линейку сложных и инновационных смартфонов, предлагая устройства, сочетающие современный дизайн, высокопроизводительные компоненты и большие экраны для комфортного использования.