Защита от фарминг-атаки

Фарминг-атаки – это атаки, при которых браузер пользователя скрытно направляется на фишинговый (поддельный) сайт.

Файл hosts

По умолчанию, файл HOSTS лежит в каталоге %SYSTEMROOT%\system32\drivers\etc (другой вариант указания пути: %WINDIR%\system32\drivers\etc).

Вирус изменяет этот файл, прописывая (добавляя) там строку с IP-адресом и именем фишингового сайта (точнее, подделываемого):

1.1.1.1 vkontakte.ru

Теперь при заходе на сайт ВКонтакте, браузер пользователя будет загружать его с адреса злоумышленника – 1.1.1.1.

Для восстановления работоспособности, в файле HOSTS следует удалить все строчки, оставив только 127.0.0.1 localhost и те, которые лично вы туда добавляли (если добавляли). Не забудьте сменить пароли ко всем веб-сервисам, которыми вы пользуетесь и фишинговые сайты которых были указаны в измененном файле HOSTS.

/!\ Важно! После внесения изменений в файл HOSTS, следует перезапустить все открытые браузеры, а лучше всего, – перезагрузить компьютер.

Местоположение файла HOSTS

Модификацию файла HOSTS легко обнаружить. В поисках путей повышения скрытности своих действий, злоумышленники придумали изменять местоположение файла HOSTS. Путь к файлу HOSTS может быть изменен путем определения нового значения в ключе системного реестра DataBasePath ветки HKLM\System\ControlSet001\Services\tcpip\parameters (лучше посмотреть все ветки, начиная с CurrentControlSet и до ControlSet001/N). Так Trojan.BAT.Delude.e создает собственный файл HOSTS в каталоге %WINDIR%\Help и устанавливает путь к нему в системном реестре, а Trojan-Downloader.Win32.Esepor.z устанавливает путь %WINDIR%\NSDB к файлу HOSTS.

hosts

Если в данном ключе прописан путь, отличный от %SystemRoot%\System32\drivers\etc, то проверьте файл HOSTS по указанному там пути, чтобы узнать, к каким сайтам имеет смысл менять пароли. Затем поменяйте путь на стандартный, а зловредный файл HOSTS удалите.

Проверка настроек DNS-серверов

Еще один метод фарминга заключается в указании DNS-серверов злоумышленника. Например, вредоносная программаTrojan.Win32.DNSChanger.pwf заменяет указанные в операционной системе DNS-сервера на DNS-сервера злоумышленников путем изменений в системном реестре.

Для обнаружения такого типа фарминг-атаки выполните команду:

ipconfig /all

которая выведет вам все настройки сетевых интерфейсов. Проверьте указанные там "DNS Servers" и сравните их с выданными вам вашим провайдером.
Если обнаружите, что DNS-сервера подменены, то восстановить корректные значения можно в настройках свойств TCP/IP.

по материалам habrahabr


Теги: , , , , , , , , , , , , , ,

11 комментариев пока

  1. Daemony ноября 26, 2010 15:44:40

    Месяц назад чистил компьютер одному бедолаге, который не мог попасть в свои «вконтакты» с июня месяца, с тех пор, как поставил «какую-то программу»…

    Я сперва тоже подумал на поддельный hosts. Но открыв drivers\etc\hosts не увидел в нем каких-либо модификаций. Потом вышло так, что я случайно посмотрел на эту же папку но в FAR’е. Так вот лежали здесь не один, а два файла hosts. Причем первый, который я видел, назывался hоsts (буква «о» кириллическая), а второй нормальный hosts лежал здесь же с аттрибутами «скрытый» и «системный». Поэтому я его и не увидел сразу.

    Открыв модифицированный hosts, прикололся от разнообразия. 🙂

  2. NetSpider ноября 26, 2010 15:52:37

    Да, прикольно) Я всегда после установки Виндовс настраиваю Экплорер по-своему, показываю строку состояния, скрытые файлы и расширения файлов. Системные не показываю, т.к. на десктопе тогда появляется Desktop.ini. И часто это выручает, когда, например, файл именуют image.jpg.exe или просто ставят иконку какого-нибудь типа файла «изображение».
    А вообще, менеджер, который показывает абсолютно все файлы (Far) — это просто маст хэв на любой Винде.
    Я уже писал о флешках, на которых папку маскируют под корзину:
    http://netspider.com.ua/index.php/2010/11/03/viruses-vs-microsoft-security-essentials/

  3. SilverFire ноября 26, 2010 16:51:55

    > /! Важно! После внесения изменений в файл HOSTS, следует перезапустить все открытые браузеры, а лучше всего, – перезагрузить компьютер.

    cmd -> ipconfig /flushdns

    О ветке реестра не знал, спасибо.

    В подобных случаях люблю юзать утилиту HiJackThis. Просто, быстро, изящно. Получаю список http://s015.radikal.ru/i333/1011/c9/fb3cf5463554.png
    То, что в рамочке — мирные записи, которые выручают при падении днс сервера, или на время, пока днс не осчастливлен новым айпишником сервера. В типе О1 на зараженном комптре будет строк, эдак, 200-300 с подобными записями. Все успешно выделяются, тыкается батон «Fix Checked», записи успешно выпиливаются. Осталось ipconfig /flushdns, или ребут.

    P.S.: А вообще, я считаю, что не##й качать и запускать что-попало. Не вестись на всякие халявные поднимания рейтинга и прочую х#ету. А еще лучше — пингвина полюбить, да поселить его на своём харде, как главного друга юзера. Проблем будет меньше. Спасибо НетСпайдеру за то, что помогает некоторым людям полюбить пингвина. И цитата башорга напоследок:
    «xxx: Полюбила я пингвина,
    xxx: Не всего, а половину
    xxx: — Половину нижнюю,
    xxx: Яркую, подвижную )
    yyy: Тоже с линупсом трахаесси?»

  4. NetSpider ноября 26, 2010 17:32:14

    flushdns сбрасывает кеш резолвера, но браузеры, если не ошибаюсь, часто сами кешируют адреса, поэтому лучше браузер перезапустить полностью.
    HiJackThis — да-да-да, уже давно ею пользуюсь, очень хорошая тулза.
    Качать или не качать, — не вопрос. Часто вирусня сама приходит в дом через уязвимости Adobe Flash/Reader (не зря их недолюбливает Стив Джобс).
    Недавно писал: http://netspider.com.ua/index.php/2010/07/08/ostorozhno-virusy/
    Использовали уязвимость баннерокрутилки OpenX.

  5. Daemony ноября 26, 2010 17:42:03

    Браузеры, если я не ошибаюсь, кешируют DNS ответы на совсем недолгое время. Менее минуты.

  6. SilverFire декабря 8, 2010 20:50:45

    Вот сегодня впервые пришлось обратится к методу, описанному NetSpider’ом. Знакомый скачал программку, чтобы рейтинг был больше, чем у дурова (ROFL :D), а HiJackThis упал от того, что в фале hosts столько записей, что он не может отработать такое количество. То, что успел увидать не экране — были строки, типа
    «127.0.0.1 ljsfHalsjkfHalkjfHLJKASDFHhjfakljsdfjkhLKHLjkh»
    Цель очевидна — сбить с толку подобные программы…
    Компьютер стабилизирован — В C:\WINDOWS нет RegEdit.exe, запустить его не удаётся. Вот думаю, как можно выкрутиться.

  7. Daemony декабря 8, 2010 20:54:49

    cd /windows && ./format-c && ./reinstall-windows && ./install-linux 🙂

  8. SilverFire декабря 8, 2010 20:57:35

    Ладно, уточню: знакомый = школодруг 15 лет, который ничего не умеет, кроме как полазить вконтакте, да посмотреть порно в сети. Линукс?! Пожалуй, он даже слова такого не знает.

  9. Daemony декабря 8, 2010 20:59:30

    Вообще, я пошутил.
    Хотя, а почему бы и нет?
    В этом возрасте многие начинают познавать что-то новое.
    Дайте ему дистр с Убунтой. Вдруг она ему понравится. 🙂
    Конкретно по вашей проблеме (как расчехлить убитую винду) мне, к сожалению, сказать нечего.

  10. NetSpider декабря 8, 2010 21:01:18

    RegEdit.exe можно скопировать с другого ПК.
    может он просто скрыт? скрытые/системные файлы показываются?
    [Windows]+[R] -> regedit
    или
    [Windows]+[R] -> regedt32
    не запускается?

  11. SilverFire декабря 8, 2010 21:03:01

    Ах, да! И еще. У него только диск C, на котором все его игры, которые он с трудом собирал у своих друзей, хоть я ему и говорил, что это можно скачать в сети. Учитывая то, что 4/5 учебных дней он проводит дома, валяю дурака, а на линуксе в его любимый Need For Speed и Цезарь не поиграешь особо. Да и имхо, он убьет линукс раньше, чем успешно воспользуется командой make. Да и man make ему не поможет, так как по-англ. он может поздороваться с кем-то, и даже написать это. Хотя, возможно с ошибками. 😀

Оставить комментарий

Пожалуйста будьте вежливы и пишите по теме. Ваш e-mail никогда не будет опубликован.

Вы должны быть авторизированы,чтобы оставить комментарий.