Obivan  | Дата: Четверг, 12.01.2012, 20:58 | Сообщение # 1 |
Титул:
запрет посещения финансов
Сообщений: 1179
| Сегодня антивирусных программ хватает, но параллельно с изысканиями вирусологов ведут такие же исследования, но в обратном направлении хакеры. К тому же, антивирус практически беспомощен против новых, ещё не знакомых ему вирусов, не говоря уже о шпионах типа Ad-Ware
С чем придётся иметь дело
И так, какие бывают вирусы и прочие пакости. Сейчас преобладают в основном скриптовые или, интерпретируемые макрос-вирусы, которые, как правило, могут быть активированы при открытии стандартных офисных документов. Поэтому настоятельно рекомендую в случае получения по электронной почте от совершенно незнакомого человека (адреса) письма с вложенным файлом “.doc”, “.xls”, “.jpg”, “.jpeg”, “.gif”, “.bmp”, “.tga”, “.avi”, “.mpg”, “.mpeg”, “.wmv”, “.scr” и прочим графическим или мультимедиа файлом, не открывать его и сразу же удалить такое письмо. Следует быть бдительными, так как принятый в Windows формат длинных имён файлов допускает использование символов “пробела” в имени файла. Таким образом, вам может быть нарочно прислан файл с очень длинным именем, например,
“fotka.jpg .exe”
где после мнимого окончания файла “.jpg” стоит куча пробелов, а за ними стоит истинное окончание файла, которое при активации ссылки на файл будет определять дальнейшие действия системы по отношению к этому файлу. При этом, сами пробелы и окончание файла “.exe” в окне броузера или в окне почтовой программы могут быть незаметны в ввиду интерфейсных особенностей этих программ, и пользователь будет полагать, что этот файл содержит безобидную картинку в формате JPEG. Следовательно, запустив такой файл, система не вызовет визуализатор графических файлов, а запустит файл как программу и произойдёт заражение. Именно на это и рассчитывает хакер, приславший такую гадость.
Больше того, старайтесь заранее договариваться со своими переписчиками о доставке тех или иных файлов по электронной почте. Последнее не помешает, так как сейчас спамеры стали использовать хитрый приём, когда человеку приходят письма с обратными адресами таких же жертв спама, а бывают случаи, что обратный адрес отправителя оказывается адресом одного из знакомых, которому пользователь доверяет и, естественно смело, открывает полученное письмо.
Последнее время спамеры настолько обленились, и дошли до того, что в качестве обратного адреса просто подставляют автоматически сгенерированный e-mail адрес, который выглядит как беспорядочный набор символов алфавита и цифр. Рекомендую сразу же “прибивать” такие письма не открывая их. Они не стоят того, чтобы тратить на них своё время и драгоценный трафик.
Такая же участь может быть при просмотре WEB-страниц в онлайне. При этом вирус/троян/шпион можно назвать как угодно, так как их свойства и методы схожи, загружается на локальную машину, то есть на компьютер пользователя и активизируется. Размер такой нехорошей программы может колебаться в пределах от 2Кб до 11Кб. Такая программа может передавать любую информацию о вашем компьютере, например: дерево каталогов вашего винчестера; подгружать более крупные “черви/шпионы/трояны” на ваш компьютер; передавать посторонним лицам ваши логины и пароли для доступа в Интернет; обеспечивать доступ постороннему лицу к удалённому управлению вашим компьютером в целях, например, организации атаки на один из серверов в Интернете; а то и попросту рассылка спама с вашего компьютера. Разумеется последнее может не понравится вашему провайдеру, за что последний может применить к вам санкции, например, отключить вас от сервиса. Да мало ли что ещё может прийти в больной разум гнусного хакера, создающего то ли вирус, то ли троян, то ли шпиона.
Симптомы
Проявлять себя такие шпионы могут следующими способами:
1.При открытии домашней страницы в Internet Explorer’е запускается ещё одно окно с совершенно посторонней web-страницей. Зачастую достаточно загрузить компьютер в безопасном режиме и поискать в папке C:/Windows/system32 файл vbsys2.dll и удалить его.
2.Самые безобидные просто при каждой загрузке компьютера меняют стартовую страницу броузера Интернета на какую-то “левую” страницу, отличную от той, что была установлена пользователем, даже если он каждый день её восстанавливал заново.
3.При каждой загрузке шпион пытается дозвониться в Интернет, что можно понять по несанкционированному открытию окна мастера дозвона. Шпионы, понаглее, открывают такое окно с определённой периодичностью (несколько секунд) и этим не дают нормально работать и нервируют пользователя.
4.Шпион при каждом входе в Интернет тихо что-то качает из Интернета. Это можно понять по долго мигающей иконке модемной связи в моменты, когда все просматриваемые WEB-страницы загружены полностью и при этом мастер докачки файлов (GetRight, ReGet, FlashGet, StarDownloader,…) ничего не качает.
5.В системе WinXP возникает окно сообщения об ошибке RPC и перезагрузке системы через 60 секунд. Достаточно зайти Пуск > Настройка > Панель управления > Администрирование > Службы > Удалённый вызов процедур (RPC) > закладка “Восстановление”, где для всех трёх полей сбоев вместо значения “Перезагрузка компьютера” выбрать “Перезапуск службы”.
6. С системой твориться непонятное, компьютер выключается через минуту.
Велика вероятность того, что произошло заражение одной из разновидностей вируса MSBlast, который проникает на ПК через 135 порт. Избежать этого можно закрыв 135 порт в реестре. Делается это так: Пуск > Выполнить > набрать regedit > Ок, запустится редактор реестра. В левой колонке окна открыть ветвь HKEY_LOCAL_MASHINE/Software/Microsoft/Ole с параметром "EnableDCOM" и его значение “Y” сменить на “N” или :
- Пуск > Настройка > Панель управления > Администрирование > Службы компонентов > Компьютеры > Мой компьютер > открываем свойства компьютера или:
- Пуск > Выполнить набрать dcomcnfg > Ok. В появившемся окне "Службы компонентов" > Компьютеры > Мой компьютер > открываем свойства компьютера
.. в закладке "Свойства по умолчанию" отключить "использование DCOM". Следует учесть, что этот метод радикальный.
7. После перезагрузки с рабочего стола пропали все ярлыки, обои съехали с экрана на бок, из меню Пуск пропали все ключевые папки, включая служебные, а в трее вместо часов красуется неприличная надпись БЛ..ДЬ. При этом не возможно воспользоваться редактором рееста и диспетчером задач, нельзя зайти в административные настройки системы. Помимо этого системные папки троян помечает невидимыми, после чего неопытный пользователь не может их видеть. Перед загрузкой десктопа появляется окно с сообщением, что если пользователь хочет восстановить работоспособность своей операционной системы, то должен отправить на некоторый e-mail адрес код карточки пополнения счёта мобильника на 25 гривень. Всё это говорит о том, что пользователь стал обладателем очередной свежей модификации трояна Trojan.Win32.Krotten, а именно Trojan.Win32.Krotten.bd.
Возможны и другие симптомы, которые мне сейчас на ум не приходят.
Методы борьбы
1.Самый простой метод рассчитан на самых тупых шпионов, которые располагают ярлык на себя в меню Пуск > Программы > Автозагрузка. Следует удалить такой ярлык. Скорее всего, первый способ ничего не даст.
2.Шпионы, немного посложнее, указывают себя в скрытой автозагрузке. Проверить можно в меню Пуск > Выполнить > набрать msconfig > Ок. В появившемся окне выбрать закладку АВТОЗАГРУЗКА, где вполне допустимо могут находиться следующие пункты для Win98:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile
VortexTray – это диспетчер управления моей звуковой картой Vortex
Mirabilis ICQ – диспетчер службы ICQ, если ICQ у вас установлен
LoadPowerProfile
или для WinXP
NeroCheck – диспетчер пакета Nero
NvCpl – панель настроек для видеоадаптера фирмы nVidia
nwiz – модуль пакета драйверов Detonator от nVidia
dumprep 0 –k
ctfmon
HotkeyDriver – служба поддержки клавиатуры Sven
NeroDriveSpeed – регулятор скоростью CD drive пакета Nero
Всё, что может там оказаться кроме этого следует взять на подозрение и убрать в соответствующих строках галочки. Нажать Ок. Если данный способ не дал желаемого результата, и пакости не прекратились, то переходим к следующему.
3.Некоторые заумные шпионы записывают себя в win.ini, которая доступна в этом же окне по закладке Win.ini. Для Win98 в появившемся окне просмотра следует открыть ветвь Windows, где параметры “norun=” и “load=” должны быть пусты, т.е. равны пустой строке. Если в этих строках указан путь к какой-то программе, то, возможно, это и есть шпион. Следует эту строку очистить. Нажать Ок. Если безрезультатно, то переходим к следующему.
4. Более наглые шпионы указывают себя прямо в реестре. Проверить можно в меню Пуск > Выполнить > набрать regedit > Ок. В появившемся окне “спуститься” по ветви HKEY_LOCAL_MASHINE/Software/Microsoft/Windows/CurrentVersion.
Открыть папку “Run”, где вполне допустимо могут находиться следующие пункты для Win98:
internat.exe
LoadPowerProfile
ScanRegistry
SystemTray
TaskMonitor
VortexTray
для WinXP/7
ctfmon.exe
iamapp – FireWall AtGuard
KernelFaultCheck
MSConfig
NeroFilterCheck
Nod32kui – интерфейс антивируса NOD32
NvCplDaemon
nwiz
Всё, что может там оказаться кроме этого следует взять на подозрение и удалить лишние строки, кликнув на удаляемой строке правой кнопкой мыши и в появившемся контекстном меню выбрать пункт УДАЛИТЬ.
Аналогично HKEY_USERS.DEFAULT/Software/Microsoft/Windows/CurrentVersion.
Проверить папку “Run”.
Идём далее. Открываем в этой же ветви HKEY_LOCAL_MASHINE/Software/Microsoft/Windows/CurrentVersion папку “Run-“, где вполне допустимо может находиться Mirabilis ICQ если ICQ у вас установлен.
Всё, что может там оказаться кроме этого следует взять на подозрение и удалить лишние строки, кликнув на удаляемой строке правой кнопкой мыши и в появившемся контекстном меню выбрать пункт УДАЛИТЬ.
Далее. В этой же ветви открываем папки “RunOnce”, “RunOnceEx”, “RunServices”, “RunServices-”, “RunServicesOnce” и удаляем оттуда всё, что там есть, кроме допустимого LoadPowerProfile, поскольку обычно они пусты.
Имеет смысл проверить аналогичные папки в ветви
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
Для WinXP cледует проверить ветвь
HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows
параметр “load”. Обычно он пуст.
HKEY_USERS.DEFAULT/Software/Microsoft/WindowsNT/CurrentVersion/Windows
параметр “load”. Обычно он пуст.
Для более комфортного просмотра автозагрузки рекомендую использовать программу Startup Extractor.
Итак, в какие уголки реестра мы с вами ещё не заглядывали?. В разделе HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/
CurrentVersion/Winlogon также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений (коими могут быть и вирусы) при входе пользователя в систему:
Userinit – определяет список программ (через запятую), запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe, nddeagnt.exe для Windows NT и userinit.exe для Windows 2000 / XP, то есть допустимые для данного параметра. Впрочем, вирусу ничего не стоит подменить эти файлы при перезагрузке.
Shell – задает оболочку (вернее, список программ, формирующих пользовательский интерфейс) Windows (по умолчанию taskman, progman, wowexec для Windows NT и explorer.exe для Windows 2000 / XP).
System – определяет список программ, запускаемых процессом WinLogon в контексте системы во время ее инициализации. По умолчанию - lsass.exe, spoolss.exe для Windows NT и lsass.exe для Windows 2000 / XP.
VmApplet - определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти. По умолчанию его значение rundll32 shell32, Control_RunDLL "sysdm.cpl".
С реестром, пожалуй, закончили.
После этого шпион, скорее всего, больше никогда активирован не будет, пока не будет заслан новый. Но следует учесть, что такими способами мы всего лишь лишаем шпиона возможности быть активированным, но при этом он остаётся на диске лежать мёртвым грузом. В выше перечисленных методах в обнаруженных строках можно найти пути к файлу программы шпиона и удалить её с диска при помощи стандартного Проводника, закладки Мой компьютер на рабочем столе или Windows Commander (Total Commander), FAR и на худой конец VC (Volkov Commander). При этом может понадобиться в конфигурации этих программ разрешить отображение скрытых и системных файлов.
Следует добавить, что, как правило, шпионы делают всё возможное, чтобы не быть видимыми в окне диспетчера задач, вызываемом по комбинации клавиш . Есть несколько специальных программ, которые способны показывать полный список выполняющихся в данный момент программ и даже завершать (закрывать) их принудительно. Но возможно, при принудительном завершении такой программы-шпиона шпион скроет от пользователя панель задач или даже закроет панель задач как задачу и дальнейшая работа на компьютере станет невозможна. Останется только перезагрузить компьютер.
Просмотреть активные задачи в системе можно при помощи программы AVZ размером 1.5 Мб (http://z-oleg.com/secur/avz/download.php). И поверьте, она вам ещё пригодится, поскольку имеет в своём арсенале медсамбат для лечения вирусов и прочей гадости, и множество инструментов по просмотру сетевых активных соединений, автозагрузки, расширений IE и прочее, прочее, прочее.
Если выше перечисленные способы не дали желаемого результата, и пакости не прекратились, то переходим к следующему и, пожалуй, последнему, но наиболее верному средству.
Обновляем базы для утилиты AVZ. Лечим системный диск C. В меню Файл > Восстановление системы отмечаем все опции, кроме "Восстановление настроек загрузки в SafeMode", после этого нажимаем Выполнить отмеченные операции. Перезагружаем компьютер. После перезагрузки все должно стать нормально.
Модули Internet Explorer
Популярный браузер имеет мало известное, но достаточно опасное свойство вместе со своим запуском загружать посторонние модули, так называемые Browser Helper Objects (BHO) – небольшие программы, не имеющие пользовательского интерфейса.
Эти BHO могут быть как действительно ценными дополнениями (например, модуль, который прописывает в систему программа FlashGet), так и зловредными вирусами, а потому при проверке автозагрузки нелишним будет проконтролировать и список установленных в системе BHO. Список этот можно увидеть в разделе реестра HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows/
CurrentVersion/Explorer/Browser Helper Objects.
Подозрительные Browser Helper Objects можно удалить из этого списка.
Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ExplorerBrowser Helper Objects/{A5366673-E8CA-11D3-9CD9-0090271D075B},
то следует произвести поиск во всем реестре найденного идентификатора {A5366673-E8CA-11D3-9CD9-0090271D075B}. Можно обнаружить его упоминание также и в разделе HKEY_CLASSES_ROOT/CLSID/
{A5366673-E8CA-11D3-9CD9-0090271D075B}.
Просмотрев все содержимое найденного раздела, можно увидеть к какой программе относится этот BHO. В данном случае вы найдете такую запись: HKEY_CLASSES_ROOT/CLSID/{A5366673-E8CA-11D3-9CD9-0090271D075B}
InprocServer32@="C:PROGRAM FILESFLASHGET
JCCATCH.DLL", - из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet (менеджер закачек) и никакой угрозы совершенно не представляет. Безопасными BHO могут быть также: SnagItBHO.dll, SnagItIEAddin.dll, ICQ.exe, MAgent.exe, msmsgs.exe.
В случае, когда обнаружится упоминание библиотеки непонятного происхождения (например, в свойствах этого файла нет никаких данных о его разработчике), то следует удалить из реестра все упоминания данного BHO – скорее всего, именно он и является причиной неприятностей.
Для более удобного поиска, идентификации и удаления установленных BHO можно использовать программу AVZ.
Существуют и другие способы запустить вирус без ведома пользователя, например, с помощью плагина какой-либо программы, хотя бы того же браузера Internet Explorer. Файлы подключаемых модулей Internet Explorer находятся в папке C:/Program Files/Internet Explorer/Plugins, по свойствам каждого файла можно выяснить его предназначение.
Изменение префикса протоколов в IE
Симптом: при вводе любого URL происходит открытие постороннего сайта, обычно открываемый URL имеет вид http://[посторонний сайт]/параметры&параметр=[введенный URL]. Достигается это как правило за счет установки в реестре так называемого префикса протокола – то есть префикса, который автоматически дописывается к введенному URL.
Настройки префиксов протоколов хранятся в ключе реестра HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/URL/Prefixes, типовыми префиксами являются ftp:// и http://. IE использует эти данные в случае ввода URL без явного указания префикса протокола, то есть, например, при вводе URL http://www.yandex.ru/ префикс не требуется, а при вводе www.yandex.ru произойдет подстановка префикса по умолчанию (в данном случае подставится префикс http://
Восстановление: для восстановления префиксов может применяться два метода.
1. Автоматический. В AVZ необходимо запустить восстановление системы (меню Файл > Восстановление системы), отметить пункт "Сброс настроек префиксов протоколов Internet Explorer на стандарные" и выполнить восстановление.
2. Ручной. При помощи редактора реестра необходимо изучить параметры, содержащиеся в ключе HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix
Восстановление префиксов бесполезно, если в системе имеется троянская программа класса Hijacker, которая периодически подменяет префиксы протоколов – в данном случае восстановление поможет, но не надолго.
Проблемы с доступом в Интернет
Симптом: после удаления вредоносной программы (вручную или при помощи антивируса) возникли проблемы с доступом в Интернет:
Подобная ситуация как правило возникает в случае удаления модуля, зарегистрированного в качестве расширения Winsock.
Рекомендации: проанализировать зарегистрированные модули расширения Winsock можно в AVZ – меню Сервис > Менеджер Winsock SPI. Менеджер оснащен автоматическим анализатором, который в состоянии обнаружить типовые ошибки и исправить их. Список ошибок можно посмотреть на закладке “Поиск ошибок”, там же имеется кнопка “Автоматическое исправление найденных ошибок”. В большинстве случаев анализатор AVZ в состоянии справиться с ошибками;
Если AVZ не поможет (а такое возможно в случае серьезного повреждения настроек, например полного удаления ключей реестра, хранящих настройку), рекомендуется выполнить в командой строке команду "netsh int ip reset" (данная операция применима для Windows XP и последующих версий Windows);
В данных статьях, размещенных на сайте Microsoft http://support.microsoft.com/kb/299357, http://support.microsoft.com/kb/817571, http://support.microsoft.com/kb/811259 подробно рассмотрены методики ручного сброса, восстановления и проверки настроек протоколов TCP/IP.
Проверяем файл system.ini
При загрузке операционной системы обрабатывается конфигурационный файл system.ini. С его помощью можно запустить только одну программу, а именно, оболочку Windows. Изначально такой оболочкой является Проводник explorer.exe (см. значение параметра SHELL в разделе [BOOT]). Однако вирус может указать иной *.exe файл оболочки, либо для стандартного Проводника указать дополнительные программы как аргументы командной строки самого файла explorer.exe - Проводник сам при запуске загрузит эти программы или документы. Вот исходный вид основных параметров файла:
[boot]
…
shell=Explorer.exe
user.exe=user.exe
gdi.exe=gdi.exe
…
Наблюдения
Заядлых Интернет-путешественников хочу предупредить, что во всемирной сети многие вроде бы приличные сайты на самом деле опасны. Например, сайт www.bebits.ru посвящённый операционной системе BeOS, пытается на компьютер посетителя загрузить трояна. Ещё можно пострадать от посещения казалось бы безвредных сайтов с обоями для рабочего стола, на которых кликнув по любой ссылке почему-то попадаешь на сайты “для взрослых”, а уж там компьютер посетителя подвергнется такой массированной атаке троянов, что только успевай закрывать окна ;).
И маленький совет напоследок. При работе в Internet Explorer окно броузера можно закрыть комбинацией клавиш Ctrl+W. Если необходимо закрыть сразу несколько окон или задач (группу задач), то достаточно на панели задач на кнопке каждой ненужной задачи кликнуть левой кнопкой мыши удерживая Ctrl, то есть выделить все закрываемые задачи, затем правым кликом мыши на одной из выделенных задач вызвать контекстное меню и выбрать пункт “Закрыть группу”.
Во многих публикациях данного издания я встречал много советов по оптимизации системы Windows посредством редактирования системного реестра. Некоторыми из этих советов воспользовался и я. Но ведь это очень неудобно каждый раз после переустановки системы пробегать по всему реестру и редактировать необходимые поля. Тогда я решил в редакторе реестра (Пуск > Выполнить > regedit > Ok) экспортировать необходимый раздел реестра через меню Файл > Экспорт > Тип файла “Файлы реестра Win9x/NT4(*.reg)”. Например, для отключения автозапуска CD должен получиться следующий текстовый файл CDAutorunOff.reg, разумеется, после удаления ненужных полей в тексте файла:
REGEDIT4
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Cdrom]
"AutoRun"=dword:00000000
После чего такой “.reg” файл достаточно запустить как программу, двойным щелчком мыши, и система автоматически осуществит данную настройку.
Вот и все 
|
| |
| |
