Трояны не дремлют….

07.08.12

Во все времена с момента своего первого появления в природе компьютерные вирусы (в основной своей массе) обладали той или иной деструктивной функцией. И если раньше она выражалась в удалении файлов на зараженном компьютере, то в последние лет 5-10 существенно увеличилась доля троянов, основная цель которых — либо получить пароли пользователя, либо заставить его заплатить некоторую сумму денег. Последнее часто применяется в сочетании с различными социальными сетями, ведь сейчас трудно найти пользователя интернет, у которого нет (или, по крайней мере, не было) аккаунта ни в одной из социальных сетей.

С одним из таких представителей троянов и пришлось столкнуться на днях.

Предыстория банальна. Знакомые принесли компьютер и пожаловались на то, что им взломали страницы ВКонтакте, с которых рассылали спам, и вот теперь страницы заблокированы, а за разблокировку нужно перечислить деньги на указанные счета в системе WebMoney.

Небольшой допрос показал, что незадолго до этого события кто-то из их домочадцев в поисках какой-то нужной книги скачал EXE-файл (конечно же, название файла соответствовало искомой книге), запустил его на выполнение, а когда ничего (визуально) не произошло , просто удалил.

Увы, далеко не все пользователи, особенно начинающие, знают, что в интернете очень часто трояны и вирусы маскируются под файлы, которые они ищут. Хотя об этом говорилось неоднократно 🙁

В общем, то, что вирус похозяйничал на компьютере — это однозначно.

Проверка компьютера моей традиционной для таких случаев программой CureIt! результат не принесла. Увы, вирусов обнаружено не было, а проблемы с социальной сетью оставались. Более того, попытка войти под своим аккаунтом привела к тому же самому эффекту — “ваша страница взломана, для активации отправьте бла-бла-бла”. Но за свой аккаунт я мог быть 100% уверен, поскольку “висел” под ним со своего компьютера.

В голове начала крутиться мысль, но пальцы рук на этот раз опередили мозг и набрали в командной строке

tracert vk.com

Вы уже поняли, к чему я веду? Если нет, то скажу, что команда tracert отображает маршрут, по которому пакеты проходят от вашего компьютера к заданному серверу.

Полученный результат, собственно, и ожидался. Вместо того, чтобы отправиться в Россию к серверам уже не раз упомянутой незлым тихим словом социальной сети, запрос ушел куда-то совсем в другую сторону (увы, снимок экрана не сделал тогда).

Таким образом, вирус произвел подмену адреса веб-сайта. Трояны выполняют это чаще всего двумя способами:

либо прописывают “нужные” DNS-сервера в настройки сетевого соединения
либо вносят необходимую запись в файл hosts

В описываемом случае настройки DNS оказались “чистыми”, значит, причина — в упомянутом файле. По умолчанию он расположен в каталоге

%SystemRoot%system32driversetc

однако этот путь может быть переопределен. Поэтому на всякий случай смотрите в реестре ключ

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath

Как казалось, дело оставалось за малым — открыть этот файл редактором, удалить лишние строки, сохранить и на всякий случай перезагрузиться. Однако нашаливший вирус преподнес еще один сюрприз.

По указанному выше пути действительно находился файл hosts, но …. пустой! Такого не должно было быть. На помощь пришел великий и ужасный Google, благодаря которому и с этим сюрпризом удалось справиться.

Дело, как оказалось, в том, что последние экземпляры подобных вирусов поступают следующим образом. Они делают свои коварные дела с исходным файлом hosts и … прячут его с помощью атрибутов “системный” и “спрятанный”. А чтобы наивный пользователь ничего не смог заподозрить, подсовывают ему “обманку” — пустой файл с таким же самым именем, вот только в нем английская буквочка “о” заменяется на русскую. Визуально отличить невозможно.

После такой подсказки на окончательное удаление следов деятельности вируса из системы ушло не более пяти минут.

Набираю в адресной строке браузера желанный адрес, ввожу логин/пароль — все нормально, вижу свою страницу.

P.S. И напоследок — пароли на аккаунты после такого в любом случае лучше сменить. Ведь они вводились на фальшивой странице. Кто знает, куда они потом уплывут 😉