Защита от фарминг-атаки

Фарминг-атаки – это атаки, при которых браузер пользователя скрытно направляется на фишинговый (поддельный) сайт.

Файл hosts

По умолчанию, файл HOSTS лежит в каталоге %SYSTEMROOT%\system32\drivers\etc (другой вариант указания пути: %WINDIR%\system32\drivers\etc).

Вирус изменяет этот файл, прописывая (добавляя) там строку с IP-адресом и именем фишингового сайта (точнее, подделываемого):

1.1.1.1 vkontakte.ru

Теперь при заходе на сайт ВКонтакте, браузер пользователя будет загружать его с адреса злоумышленника – 1.1.1.1.

Для восстановления работоспособности, в файле HOSTS следует удалить все строчки, оставив только 127.0.0.1 localhost и те, которые лично вы туда добавляли (если добавляли). Не забудьте сменить пароли ко всем веб-сервисам, которыми вы пользуетесь и фишинговые сайты которых были указаны в измененном файле HOSTS.

/!\ Важно! После внесения изменений в файл HOSTS, следует перезапустить все открытые браузеры, а лучше всего, – перезагрузить компьютер.

Местоположение файла HOSTS

Модификацию файла HOSTS легко обнаружить. В поисках путей повышения скрытности своих действий, злоумышленники придумали изменять местоположение файла HOSTS. Путь к файлу HOSTS может быть изменен путем определения нового значения в ключе системного реестра DataBasePath ветки HKLM\System\ControlSet001\Services\tcpip\parameters (лучше посмотреть все ветки, начиная с CurrentControlSet и до ControlSet001/N). Так Trojan.BAT.Delude.e создает собственный файл HOSTS в каталоге %WINDIR%\Help и устанавливает путь к нему в системном реестре, а Trojan-Downloader.Win32.Esepor.z устанавливает путь %WINDIR%\NSDB к файлу HOSTS.

hosts

Если в данном ключе прописан путь, отличный от %SystemRoot%\System32\drivers\etc, то проверьте файл HOSTS по указанному там пути, чтобы узнать, к каким сайтам имеет смысл менять пароли. Затем поменяйте путь на стандартный, а зловредный файл HOSTS удалите.

Проверка настроек DNS-серверов

Еще один метод фарминга заключается в указании DNS-серверов злоумышленника. Например, вредоносная программаTrojan.Win32.DNSChanger.pwf заменяет указанные в операционной системе DNS-сервера на DNS-сервера злоумышленников путем изменений в системном реестре.

Для обнаружения такого типа фарминг-атаки выполните команду:

ipconfig /all

которая выведет вам все настройки сетевых интерфейсов. Проверьте указанные там "DNS Servers" и сравните их с выданными вам вашим провайдером.
Если обнаружите, что DNS-сервера подменены, то восстановить корректные значения можно в настройках свойств TCP/IP.

по материалам habrahabr


Теги: , , , , , , , , , , , , , ,

Спецслужба лохов

Dj SmAiLiK, (649445184) 07.09.2010 16:27:24:
Здравствуйте уважаемый пользователь ICQ.
На ваш аккаунт поступили жалобы,в связи с рассылкой спама.
Подтвердите,что Вы не бот,отправте смс (бесплатно) с кодом 8462033на номер 8355,
или мы будем вынуждены заблокировать ваш аккаунт(uni)!

Вспомнилось недавнее задержание хакеров:

Я в шоке. Как государство может допускать такие разводы лохов???

Куда смотрит ФСБ? Жопу чешут? КАК можно было допустить функционирование преступной группы ПОЛГОДА????

Ладно, пользователи лохи, отправляли смс, но неужели в ФСБ такие тупорылые идиоты, что им нужно столько времени, чтобы отследить такие некислые суммы? Ребята не мелочь по карманам тырили.

Роисся вперде? =)))


Теги: , , , , , ,

Реклама, вирусы и Google

Все, кто пользуются панелькой от Гугла или браузером Google Chrome вероятно встречали предупреждения при посещении фишингового сайта или сайта, где размещен вредоносный код (трояны). Но не всегда и не везде Гугл успевает все проверять.

Сегодня зашел на свой сайт и заметил интересную рекламку в блоке Google Adsense:

New 7-zip

The Ultimate in Compression! Get It Free Zip & Unzip Software

Нет, на сайте вирусов нет (т.е. они с сайта не загружаются и на сайт можно спокойно и безопасно зайти, там красиво). Там есть программа (инсталлятор), которая по-идее должна была бы быть новой версией известного архиватора 7-Zip. Чем она является на самом деле я не знаю, но пятая точка подсказывает, что там что-то нехорошее, а Virustotal это подтверждает.

Гео таргетинг

Второй прикол – вам наверняка не удастся скачать вирус программу, если вы зайдете с украинского IP. Вам будет предолжено отправить смску и получить код. Всего за каких-то символических 7.5$.

Мораль сей басни

Не забывайте нацюцюрнык проверять скачанные программы антивирусом 🙂


Теги: , , , , , , , , , , ,

Чистка файлов от iframe вставок

По мотивам предыдущей заметки =)

Итак, если ваш сайт взломан или подобран пароль к вашему фтп-аккаунту и в некоторых (или во всех) файлах присутствует вражеский код iframe – самое время заняться чисткой.

Обнаружение противника

Для начала вражеский код нужно обнаружить. Самый безопасный и правильный подход – найти подозрительные участки кода в зараженных файлах и детерминировать их как вредоносные.

find . -name "*.php*" -or -name "*.*htm*" -exec grep "iframe" {} \; -print | less

В результате вы увидите код ифреймов и пути к зараженным файлам:

<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.htm
<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.shtml
<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.html

Если не хотите видеть путь к файлам (в принципе, на данном этапе он и не нужен), уберите ключ -print.

Читать остальную часть заметки »


Теги: , , , , , , , , , , , , , ,