Защита от фарминг-атаки

Фарминг-атаки – это атаки, при которых браузер пользователя скрытно направляется на фишинговый (поддельный) сайт.

Файл hosts

По умолчанию, файл HOSTS лежит в каталоге %SYSTEMROOT%\system32\drivers\etc (другой вариант указания пути: %WINDIR%\system32\drivers\etc).

Вирус изменяет этот файл, прописывая (добавляя) там строку с IP-адресом и именем фишингового сайта (точнее, подделываемого):

1.1.1.1 vkontakte.ru

Теперь при заходе на сайт ВКонтакте, браузер пользователя будет загружать его с адреса злоумышленника – 1.1.1.1.

Для восстановления работоспособности, в файле HOSTS следует удалить все строчки, оставив только 127.0.0.1 localhost и те, которые лично вы туда добавляли (если добавляли). Не забудьте сменить пароли ко всем веб-сервисам, которыми вы пользуетесь и фишинговые сайты которых были указаны в измененном файле HOSTS.

/!\ Важно! После внесения изменений в файл HOSTS, следует перезапустить все открытые браузеры, а лучше всего, – перезагрузить компьютер.

Местоположение файла HOSTS

Модификацию файла HOSTS легко обнаружить. В поисках путей повышения скрытности своих действий, злоумышленники придумали изменять местоположение файла HOSTS. Путь к файлу HOSTS может быть изменен путем определения нового значения в ключе системного реестра DataBasePath ветки HKLM\System\ControlSet001\Services\tcpip\parameters (лучше посмотреть все ветки, начиная с CurrentControlSet и до ControlSet001/N). Так Trojan.BAT.Delude.e создает собственный файл HOSTS в каталоге %WINDIR%\Help и устанавливает путь к нему в системном реестре, а Trojan-Downloader.Win32.Esepor.z устанавливает путь %WINDIR%\NSDB к файлу HOSTS.

hosts

Если в данном ключе прописан путь, отличный от %SystemRoot%\System32\drivers\etc, то проверьте файл HOSTS по указанному там пути, чтобы узнать, к каким сайтам имеет смысл менять пароли. Затем поменяйте путь на стандартный, а зловредный файл HOSTS удалите.

Проверка настроек DNS-серверов

Еще один метод фарминга заключается в указании DNS-серверов злоумышленника. Например, вредоносная программаTrojan.Win32.DNSChanger.pwf заменяет указанные в операционной системе DNS-сервера на DNS-сервера злоумышленников путем изменений в системном реестре.

Для обнаружения такого типа фарминг-атаки выполните команду:

ipconfig /all

которая выведет вам все настройки сетевых интерфейсов. Проверьте указанные там "DNS Servers" и сравните их с выданными вам вашим провайдером.
Если обнаружите, что DNS-сервера подменены, то восстановить корректные значения можно в настройках свойств TCP/IP.

по материалам habrahabr


Теги: , , , , , , , , , , , , , ,

Феерично

Павел Калугин @twitter:

Чудесная статья о том, как узнать о человеке почти все вплоть до фото его дома по полученному от него письмуhttp://goo.gl/UW17C

http://twitter.com/#!/pavelkalugin/status/29593430363

Как можно строить бизнес в сети и нести такую ахинею? =)

Павел, чтите Википедию, перед сном и перед завтраком:
http://ru.wikipedia.org/
http://en.wikipedia.org/wiki/Domain_privacy


Теги: , , , , , , , ,

Спецслужба лохов

Dj SmAiLiK, (649445184) 07.09.2010 16:27:24:
Здравствуйте уважаемый пользователь ICQ.
На ваш аккаунт поступили жалобы,в связи с рассылкой спама.
Подтвердите,что Вы не бот,отправте смс (бесплатно) с кодом 8462033на номер 8355,
или мы будем вынуждены заблокировать ваш аккаунт(uni)!

Вспомнилось недавнее задержание хакеров:

Я в шоке. Как государство может допускать такие разводы лохов???

Куда смотрит ФСБ? Жопу чешут? КАК можно было допустить функционирование преступной группы ПОЛГОДА????

Ладно, пользователи лохи, отправляли смс, но неужели в ФСБ такие тупорылые идиоты, что им нужно столько времени, чтобы отследить такие некислые суммы? Ребята не мелочь по карманам тырили.

Роисся вперде? =)))


Теги: , , , , , ,

Дырявый сайт ООН по-прежнему уязвим

Хакеры взломали официальный сайт Организации Объединенных Наций. «Израиль и США не должны убивать детей и простых людей», — говорится в заявлении взломщиков, которое было вывешено в разделе сообщений генсека ООН англоязычной версии сайта.

Таким образом взломщики хотели выразить свой киберпротест против войны на Ближнем Востоке. На русскоязычной версии сайта ООН данного сообщения нет. Некоторые СМИ отмечают, что на других сайтах уже были обнаружены следы нападений тех же хакеров, которые позволяют предположить, что, по крайней мере, один из них — турецкого происхождения.

Источник: http://www.rbc.ru

Дата: 12.08.2007

Два года спустя:
Читать остальную часть заметки »


Теги: , , , , , , ,