Столкнулся у клиента с интересной шняжкой- при попытке зайти на одноклассников, в контакте или мейловую почту выводилось сообщение о том, что надо бы прислать бабок ерез смс, чтобы всем было щасте. В первый раз когда я это обнаружил- подумал было что легкая какая то фигня, не заслуживающая особого внимания тем более, что поотключав все в бродилке- вроде убрал эту проблему, но через пару дней она появилась снова.
Просмотрел для начала автозагрузки и иже с ними, и обнаружил что эта пакость сделала невидимым файл
C:\WINDOWS\system32\drivers\etc\hosts и понаписала в него всякого дикого мусора, среди которого промелькивали осмысленные строки:
##############################################
91.193.194.141 odnoklassniki.ua
91.193.194.141 vkontakte.ru
91.193.194.141 www.durov.ru
91.193.194.141 www.odnoklassniki.ru
91.193.194.141 wap.vkontakte.ru
91.193.194.141 vk.com
91.193.194.141 www.durov.vkontakte.ru
91.193.194.141 www.wap.vkontakte.ru
91.193.194.141 www.vkontakte.ru
91.193.194.141 www.pda.vkontakte.ru
91.193.194.141 durov.vkontakte.ru
91.193.194.141 odnoklassniki.ru
91.193.194.141 pda.vkontakte.ru
91.193.194.141 www.vk.com
91.193.194.141 www.odnoklassniki.ua
91.193.194.141 durov.ru
##############################################
а также создала еще один файл в этой же папке с названием hюsts в который навалила следующего флуда:
##############################################
windows
765765765765765765765765765765765767575
765765765765765765765765765765765767575
765765765765765765765765765765765767575
##############################################
Собственно редирект IP на фишинг страничку которая и предлагает прислать бабусек за анлок сайтов. IP’шник литовский и принадлежит ISP: Odessa Hosting Service
Учитывая про при последовавшем прогоне системы через все многообразие имеющихся антивирей- было найдено пара троянов, застывших в ужасе, в темповой папке, после чего я полез смотреть кто из них проделывает эту пакость и оказалось что троянчики тут не при чем- а эта лажа приходит из социальной сети “В Контакте”, где на стену приходит ссылко вида http://09g020923jf9jdq.ru/?edcvfr=101036702 при проходе на которую предлагается к скачиванию файлец
PODAROK.exe, который и проводит указанную манипуляцию с файлом hosts.
А троянчики были просто залетные, видимо оставшиеся от дикого и неуемного серфинга по сети.
В опубликованном Мелкомягкими Security Advisory 2286198, на прошлой неделе, появилась инфа о том, что они в данный момент трудятся над закрытием критической уязвимости основанной на некорректном парсинге системой иконки ярлыка, так что злоумышленник подсунув системе специально сконфигурированную иконку может уязвить машину, путем запуска злонамеренного кода, не имея на то необходимых привилегий и в обход политик UAC и контроля безопасности Windows 7. так что эксплоит .lnk это как раз то, чего нам так давно не хватало.
По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена. Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.
И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.
И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.
Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту Пуск -> Настройка -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.
Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.
Столкнулся с очередным винлокером, который лочит винду и не дает ничего делать, требуя прислать бабла на определенный номер. Причем написан гораздо веселее чем все предыдущие которые мне довелось повстречать, ибо не выпадает в ошибку от хаотичного нажатия клавиш в начале загрузки. Также заблокированы диспетчер задач и вход в безопасный режим. Как говорится- шибко заколдован. Самое веселое то, что человек ко мне обратившийся с этой проблемой сначала с неделю пытался починить сам, ибо баннер который вывешивает локер ссылается на пидовскую порнушку, так что когда я пришел и загрузил компьютер- мне стоило больших сил сдержаться.
Собственно починяется подобная вещь либо вводом кода, который я приведу ниже, либо нехитрыми пассами с Live CD. То есть мы грузим систему с сидюка, после чего заходим в файловую систему системного диска и чистим все директории временных файлов, temp и содержимое темпов Documents and Settings/%username% , после чего система загружается нормально и загрузив её, разлочиваем все функции с помощью avz -> восстановление системы и перегружаемся в безопасный режим. Там прогоняем систему антивирусами и антишпионами. Поскольку эта процедура долгая и муторная, то можно сделать все в разы быстрее, если ввести запрашиваемый код и после этого начать сразу с восстановления системы.
Список кодов разблокировки различных порнобаннеров и винлокеров:
Пока лечил хвосты за 1сником, попутно поковырялся в машинке одного довольно известного кинорежиссера, который не смотря на то, что ежедневно общается с толпами обворожительных молодых актрис не чужд ничего человеческого и потому любит лазить попорнушке. Ну и естественно цеплять всякую мразь из инета.
Мне правда повезло и достались уже хвосты от его умельцев, которые ему убивали табличку требовавшую смску за разлочку экрана, но оставшиеся хвосты, тем не менее не давали ему снова насладиться всей прелестью порнушки, поскольку в полэкрана бродилки вылезала надпись “not found 404, nginx”- при ближнем рассмотрении эта надпись оказалась неработоспособным фреймом, ссылающимся на неработающий в данный момент сайтик megaclip.biz. То естьэтакое левое поле в нижнем правом углу- ничего особенного, но раздражает.
Итак убивалось в Firefox:
Открываем Инструменты -> Дополнения -> Расширения. Там отключаем все подозрительные дополнения, которые не устанавливали сами, после чего перегружаем бродилку. После этого можно включить нужные, которые были, но после нашей процедуры пропали. Вычленив врага- прощаемся с ним, и нажимает там же кнопочку удалить.
В Internet Explorer делается несколько иначе:
Идем в Сервис -> Надстройки. В списке надстроек ищем те, что ссылаются на файл с названием ***lib.dll (вначале может идти любая комбинация букаф). Выделяем надстройку и в нижнем меню говорим Отключить. Закрываем бродилку, после чего открываем проводник и идем в нашу излюбленную папку C:\Windows\System32\ где ищем тот самый файл ***lib.dll, после чего его удаляем. Также желательно почистить реестр от хвостов надстройки, путем нажатия клавиш <Win>+<R> -> regedit -> <Ctrl>+F в открывшееся поле вводим имя надстройки, после чего говорим поиск и удаляем все найденные ключи. Перегружаем компьютер, запускаем эксплорер, видим что ничего не изменилось, повторяем всю процедуру снова
Попрошу заметить, что после чистки Firefox ничего перегружать не надо, что нам еще раз лишний раз доказывает тот факт, что Firefox рулит!!!!
Вот реально, иногда хочется адынсникам и гарантам, точнее представителям компаний “интеграторов” которые шарахаются по клиентам с целью обновления баз, форм и прочее; просто поотрывать к чертовой матери руки, а флешки их адовы засунуть туда, откуда достать их бывает не так просто, как могло бы подуматься. Имея двух клиентов, с поддерживаемой в актуальном состоянии 1С, имею также и перманентный аврал через день -два после визита специалиста обновляющего базу. Каждый раз на компьютере оказывается какой то зоопарк состоящий из 3-4 разновидностей троянов. Пока ума не приложу, как быть и что с этим делать, поскольку антивирус в любом случае это дело просыпает, а в результате работы, оказывается зараженной не только администраторская машина, с которой происходит обновление, но и все машины, которые в последствии начинают работать с базами. Сейчас так вообще столкнулся с вирем, прописавшимся в папочку 1С- а что, крайне удобно.
В пору делать все самому, но тогда придется чаще наносить незапланированные визиты, а это конечно не очень здорово.
Не ловил никаких пакостей уже года 4 наверное. А тут возникла необходимость найти себе найтивного копирайтера на несколько своих английских проектов, поэтому все выходные лазил по различным копирайтерским сообществам, ну и каюсь- также прошерстил какое то количество порноведческих форумов, поскольку там эти нужные люди чаще всего и обитают.
В результате этих изысканий, других явных причин я не вижу, хотя точно и не могу понять когда именно произошло заражение (и как, учитывая приблуды вроде NoScript и прочие), бродилка Mozilla Firefox стала себя странно вести: компьютер загружается и все прекрасно, пока я не поднимаю Firefox. После этого в логе фаервола генерится порядка 200+ пакетов длиной в 63 байта на 80 порт десятка различных IP адресов, из тех что успел поймать были www.yandex.ru, www.google.ru, www.eset.com (естественно, что пакеты генерятся от антивируса, поскольку он перехватывает их отправку и не видя ничего подозрительного передает фаерволу). Если Firefox закрыть, процессы, по выполнению, завершаются и их количество стремится к нулю. Если бродилку не закрывать, то делать она ничего не может, на часть сайтов не ходит, тупит и не хочет ничего скачивать, поскольку я сперва было решил её просто тупо переставить.
По ходу дела я словил какую то пакость загнавшую меня в bot-сеть использующуюся для DDoS различных, в том числе и вышеназванных, сайтов по алгоритму HTTP flood, т.е из основных это могут быть либо BlackEnergy DDoS Bot либо Dream System DDoS Bot либо еще кто нить о ком я не имею ни малейшего представления. Самое пакостное, что антивири никого мне не смогли найти, а только грохнули Agava Spam-Filter для Bat, благодаря чему я теперь не могу даже получать почту, поскольку скачать из дома новую версию у меня естественно не вышло. Прогнав всеми имеющимися антивирями, антимальварями и антитроянами я пришел к тому, что у меня почти идеально чистая система, но поскольку проблема не исчезает, то вероятнее всего вирь крепко зашифрован, то есть как вариант было бы снести все файлы к которым система не может получить доступ.
Так что сегодня вечером, видимо, битва продолжится, и как говорил герой Никулина “Будем искать”.
Иногда случается, что зайти в безопасный режим, для того чтобы просканировать зараженную машину, не представляется возможным, поскольку злобные вирусы удалили ветвь реестра отвечающую за безопасный режим и при попытке зайти в него, машина просто интеллигентно перегружается. Встает вопрос, как с этим жить, и что делать дальше?
Отвечаю, главное не отчаиваться, а внимательно изучить написанное ниже и выбрать один из двух различных способов.
Способ первый, использование утилиты AVZ.
Загружаем утилиту с офф.сайта (http://z-oleg.com/secur/avz), затем в ней говорим Файл -> Восстановление системы. В открывшимся окне настроек включаем 10 пункт меню Восстановление настроек загрузки в SafeMode. Помимо этого можем включить еще массу удалений различных блокировок, главное четко понимать, что мы хотим сделать. Говорим, ОК, после чего утилита вместе с системой на какое то время задумываются над своей непростой судьбиной, и после этого предлагают нам перегрузиться. Что мы и делаем, после чего не безуспешно пытаемся зайти в безопасный режим SafeMode.
Способ второй для любителей ковыряния в реестре:
Не спокойный бельгийский специалист по безопасности Didier Stevens создал импорт ветви реестра, находящейся по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot и включающей все возможные варианты загрузки безопасного режима и выложил получившийся файлик для всеобщего обозрения на своем сайте http://blog.didierstevens.com. В файлике, на данный момент доступны 4 вариации на тему реестра: Windows 2003 SP2, Windows XP SP2, Windows XP SP3, Windows 2000 SP4. , распаковываем и запускаем необходимую для вашей версии Windows.
