Трояны не дремлют….
07.08.12Во все времена с момента своего первого появления в природе компьютерные вирусы (в основной своей массе) обладали той или иной деструктивной функцией. И если раньше она выражалась в удалении файлов на зараженном компьютере, то в последние лет 5-10 существенно увеличилась доля троянов, основная цель которых — либо получить пароли пользователя, либо заставить его заплатить некоторую сумму денег. Последнее часто применяется в сочетании с различными социальными сетями, ведь сейчас трудно найти пользователя интернет, у которого нет (или, по крайней мере, не было) аккаунта ни в одной из социальных сетей.
С одним из таких представителей троянов и пришлось столкнуться на днях.
Предыстория банальна. Знакомые принесли компьютер и пожаловались на то, что им взломали страницы ВКонтакте, с которых рассылали спам, и вот теперь страницы заблокированы, а за разблокировку нужно перечислить деньги на указанные счета в системе WebMoney.
Небольшой допрос показал, что незадолго до этого события кто-то из их домочадцев в поисках какой-то нужной книги скачал EXE-файл (конечно же, название файла соответствовало искомой книге), запустил его на выполнение, а когда ничего (визуально) не произошло , просто удалил.
Увы, далеко не все пользователи, особенно начинающие, знают, что в интернете очень часто трояны и вирусы маскируются под файлы, которые они ищут. Хотя об этом говорилось неоднократно 🙁
В общем, то, что вирус похозяйничал на компьютере — это однозначно.
Проверка компьютера моей традиционной для таких случаев программой CureIt! результат не принесла. Увы, вирусов обнаружено не было, а проблемы с социальной сетью оставались. Более того, попытка войти под своим аккаунтом привела к тому же самому эффекту — “ваша страница взломана, для активации отправьте бла-бла-бла”. Но за свой аккаунт я мог быть 100% уверен, поскольку “висел” под ним со своего компьютера.
В голове начала крутиться мысль, но пальцы рук на этот раз опередили мозг и набрали в командной строке
tracert vk.com
Вы уже поняли, к чему я веду? Если нет, то скажу, что команда tracert отображает маршрут, по которому пакеты проходят от вашего компьютера к заданному серверу.
Полученный результат, собственно, и ожидался. Вместо того, чтобы отправиться в Россию к серверам уже не раз упомянутой незлым тихим словом социальной сети, запрос ушел куда-то совсем в другую сторону (увы, снимок экрана не сделал тогда).
Таким образом, вирус произвел подмену адреса веб-сайта. Трояны выполняют это чаще всего двумя способами:
- либо прописывают “нужные” DNS-сервера в настройки сетевого соединения
- либо вносят необходимую запись в файл hosts
В описываемом случае настройки DNS оказались “чистыми”, значит, причина — в упомянутом файле. По умолчанию он расположен в каталоге
%SystemRoot%system32driversetc
однако этот путь может быть переопределен. Поэтому на всякий случай смотрите в реестре ключ
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath
Как казалось, дело оставалось за малым — открыть этот файл редактором, удалить лишние строки, сохранить и на всякий случай перезагрузиться. Однако нашаливший вирус преподнес еще один сюрприз.
По указанному выше пути действительно находился файл hosts, но …. пустой! Такого не должно было быть. На помощь пришел великий и ужасный Google, благодаря которому и с этим сюрпризом удалось справиться.
Дело, как оказалось, в том, что последние экземпляры подобных вирусов поступают следующим образом. Они делают свои коварные дела с исходным файлом hosts и … прячут его с помощью атрибутов “системный” и “спрятанный”. А чтобы наивный пользователь ничего не смог заподозрить, подсовывают ему “обманку” — пустой файл с таким же самым именем, вот только в нем английская буквочка “о” заменяется на русскую. Визуально отличить невозможно.
После такой подсказки на окончательное удаление следов деятельности вируса из системы ушло не более пяти минут.
Набираю в адресной строке браузера желанный адрес, ввожу логин/пароль — все нормально, вижу свою страницу.
P.S. И напоследок — пароли на аккаунты после такого в любом случае лучше сменить. Ведь они вводились на фальшивой странице. Кто знает, куда они потом уплывут 😉


Обзор проектора XGIMI Halo: успешная премьера



Рынок проекторов продолжает активно развиваться, особенно в сегменте домашних и портативных устройств. Сегодня расскажем про лазерный проектор XGIMI Halo, который имеет качественную оптику и поддержку HDR

Флагманский смартфон Motorola Edge S первым в мире получил новый чип Qualcomm Snapdragon 870
Android Motorola Qualcomm смартфонMotorola представила флагман Motorola Edge S который стал первым в мире смартфоном на системе Qualcomm Snapdragon 870
Защищенный смартфон Doogee S88 Plus оснастили аккумулятором 10 000 мА·ч
Doogee защита смартфонDoogee анонсировала защищенный смартфон S88 Plus, который построен на базе однокристальной системы Helio P70
