Трояны не дремлют….
07.08.12Во все времена с момента своего первого появления в природе компьютерные вирусы (в основной своей массе) обладали той или иной деструктивной функцией. И если раньше она выражалась в удалении файлов на зараженном компьютере, то в последние лет 5-10 существенно увеличилась доля троянов, основная цель которых — либо получить пароли пользователя, либо заставить его заплатить некоторую сумму денег. Последнее часто применяется в сочетании с различными социальными сетями, ведь сейчас трудно найти пользователя интернет, у которого нет (или, по крайней мере, не было) аккаунта ни в одной из социальных сетей.
С одним из таких представителей троянов и пришлось столкнуться на днях.
Предыстория банальна. Знакомые принесли компьютер и пожаловались на то, что им взломали страницы ВКонтакте, с которых рассылали спам, и вот теперь страницы заблокированы, а за разблокировку нужно перечислить деньги на указанные счета в системе WebMoney.
Небольшой допрос показал, что незадолго до этого события кто-то из их домочадцев в поисках какой-то нужной книги скачал EXE-файл (конечно же, название файла соответствовало искомой книге), запустил его на выполнение, а когда ничего (визуально) не произошло , просто удалил.
Увы, далеко не все пользователи, особенно начинающие, знают, что в интернете очень часто трояны и вирусы маскируются под файлы, которые они ищут. Хотя об этом говорилось неоднократно 🙁
В общем, то, что вирус похозяйничал на компьютере — это однозначно.
Проверка компьютера моей традиционной для таких случаев программой CureIt! результат не принесла. Увы, вирусов обнаружено не было, а проблемы с социальной сетью оставались. Более того, попытка войти под своим аккаунтом привела к тому же самому эффекту — “ваша страница взломана, для активации отправьте бла-бла-бла”. Но за свой аккаунт я мог быть 100% уверен, поскольку “висел” под ним со своего компьютера.
В голове начала крутиться мысль, но пальцы рук на этот раз опередили мозг и набрали в командной строке
tracert vk.com
Вы уже поняли, к чему я веду? Если нет, то скажу, что команда tracert отображает маршрут, по которому пакеты проходят от вашего компьютера к заданному серверу.
Полученный результат, собственно, и ожидался. Вместо того, чтобы отправиться в Россию к серверам уже не раз упомянутой незлым тихим словом социальной сети, запрос ушел куда-то совсем в другую сторону (увы, снимок экрана не сделал тогда).
Таким образом, вирус произвел подмену адреса веб-сайта. Трояны выполняют это чаще всего двумя способами:
- либо прописывают “нужные” DNS-сервера в настройки сетевого соединения
- либо вносят необходимую запись в файл hosts
В описываемом случае настройки DNS оказались “чистыми”, значит, причина — в упомянутом файле. По умолчанию он расположен в каталоге
%SystemRoot%system32driversetc
однако этот путь может быть переопределен. Поэтому на всякий случай смотрите в реестре ключ
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath
Как казалось, дело оставалось за малым — открыть этот файл редактором, удалить лишние строки, сохранить и на всякий случай перезагрузиться. Однако нашаливший вирус преподнес еще один сюрприз.
По указанному выше пути действительно находился файл hosts, но …. пустой! Такого не должно было быть. На помощь пришел великий и ужасный Google, благодаря которому и с этим сюрпризом удалось справиться.
Дело, как оказалось, в том, что последние экземпляры подобных вирусов поступают следующим образом. Они делают свои коварные дела с исходным файлом hosts и … прячут его с помощью атрибутов “системный” и “спрятанный”. А чтобы наивный пользователь ничего не смог заподозрить, подсовывают ему “обманку” — пустой файл с таким же самым именем, вот только в нем английская буквочка “о” заменяется на русскую. Визуально отличить невозможно.
После такой подсказки на окончательное удаление следов деятельности вируса из системы ушло не более пяти минут.
Набираю в адресной строке браузера желанный адрес, ввожу логин/пароль — все нормально, вижу свою страницу.
P.S. И напоследок — пароли на аккаунты после такого в любом случае лучше сменить. Ведь они вводились на фальшивой странице. Кто знает, куда они потом уплывут 😉
Фанат сайта
Обзор смартфона Tecno Spark 20 Pro+: рестомод
Обновлённая серия смартфонов Tecno Spark 20 Pro+ состоит из трех моделей. Сегодня расскажем про топовою, которая к тому же, отличается по стилю от младших
Tidal теперь позволяет открывать песни в Spotify, Apple Music и других музыкальных сервисах
музыка обновление сервисНововведение делает обмен музыкой между различными платформами проще и не требует загрузки приложений или регистрации на новых сервисах.
LG выпустила новые мониторы: UltraFine 27UQ850V с 4K и бюджетный 25MS500
IPS LG мониторLG UltraFine 27UQ850V получил 27-дюймовый дисплей IPS Black с поддержкой 10-битных цветов, а LG 25MS500 оснастили IPS-дисплеем диагональю 24.5 дюйма