Фрегат-Форум  
Старый 21.01.2007, 00:11   #11
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Hijacker

Буквальный перевод этого термина звучит как "налетчик", "грабитель", "воздушный пират". Это программа, которая выполняет на компьютере пользователя нежелательные для него действия, преследуя цели своих разработчиков. Производитель многих антивирусных средств относят программы категории Hijacker к троянским программам, по моей классификации они вписываются в категорию Spy. Задачей программ класса Hijacker является перенастройка параметров браузера, электронной почты или других приложений без разрешения и ведома пользователя. В зарубежных источниках мне встречалось определение Hijacker - "утилита, которая изменяет настройки браузера без ведома пользователя".
Наиболее часто Hijacker применяется для изменения:



Стартовой страницы браузера - стартовая страница заменяется на адреса сайта создателей Hijacker;

Настройки системы поиска браузера (эти настройки хранятся в реестре). В результате при нажатии кнопки "Поиск" открывается адрес, установленный программой Hijacker;

Уровней и настроек безопасности браузера;

Реакции браузера на ошибки - мне встречался Hijacker, заменяющий стандартные странички IE, описывающие ошибки типа 404 на собственные;

Модификации списка адресов ("Избранное") браузера


В чистом виде Hijacker встречается сравнительно редко, т.к. чаще всего по выполняемым действиям программа может быть кроме категории "Hijacker" отнесена к категориям "Trojan","Dialer" или "Spy".

Trojan - троянская программа

Троянская программа - это программа, которая выполняет действия, направленные против пользователя - собирает и передает владельцам конфиденциальную информацию о пользователе (эту категорию еще называют TrojanSpy), выполняет несанкционированные или деструктивные действия. Из определения легко заметить, что троянска программа является "родственником" программ из категории Spy (SpyWare) - разница как правило в том, что Spy не имеют выраженного деструктивного действия и не передают конфиденциальную информацию о пользователе. Однако вопрос об отнесении программы к той или иной категории достаточно спорный (часто получается, что одна антивирусная компания считает некий модуль Adware, другая - троянской программой, третья - вообще игнорирует). Я в своей классификации ввел понятие "Spy" именно потому, что в последнее время появилось множество программ, которые недотягивают по вредоносности до отнесения к категории Trojan.
Троянская программа может быть выполнена в виде отдельной самостоятельной программы, части (модуля) другой программы (или компьютерного вируса) или программной закладки.

Backdoor - утилита скрытного удаленного управления и администрирования

Backdoor - это программа, основным назначением которой является скрытное управление компьютером. Backdoor можно условно подразделить на следующие категории:



Backdoor, построенные по технологии Client - Server. Такой Backdoor состоит как минимум из двух программ - небольшой программы, скрытно устанавливаемой на поражаемый компьютер и программы управления, устанавливаемой на компьютер злоумышленника. Иногда в комплекте идет еще и программа настройки

Backdoor, использующие для удаленного управления встроенный telnet, web или IRC сервер. Для управления таким Backdoor не требуется специальное клиентское программное обеспечение. К примеру, я как-то исследовал Backdoor, который подключался к заданному IRC серверу и использовал его для обмена со злоумышленником


Основное назначение Backdoor - скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сететвых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему "черный ход" на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК. Второй особенностью многих Backdoor программ является то, что они позволяют использовать компьютер пользователя для сканирования сети, проведения сетевых атак взлома сетей - при этом попытки взлома ведутся с ничего не подозревающего компьютера пользователя.
В моей практике был случай, когда пограничный Firewall обнаружил попытку атаки на сеть ОАО Смоленскэнерго (сканирование портов, попытка передачи exploit по открытым портам). Анализ показал, что атака идет с компьютера соседней фирмы (подключенной к Интернет через того же провайдера, что и Смоленскэнерго). Проверка компьютера "хакера" показала, что на самом деле никаких атак с него пользователем не проводилось, но на компьютере была обнаружена достаточно мощная и известная Backdoor программа - именно через нее и было организовано сканирование портов. Этот пример достаточно показателен и говорит о том, что наличие на компьютере установленных злоумышленником (или вирусом) Backdoor - программ может привести к большим неприятностям, если Backdoor будет использован для атаки на другие сети или компьютеры - источником атаки естественно будет зараженный компьютер и именно с его пользователем будет в первую очередь "воевать" служба безопасности провайдера или соответвующие подразделения ФСБ.

© Зайцев Олег, "Информационная безопасность" 2004.
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 00:11   #12
Eagle
Местный
 
Аватар для Eagle
 
Регистрация: 19.05.2006
Адрес: L3
Сообщений: 1,623
Отправить сообщение для Eagle с помощью ICQ
По умолчанию

Кстати, хочу отметить и "ложные срабатывания" тревоги. Например, при активности Skype возникает небольшой, но постоянный поток исходящего трафика по разным направлениям. А особенно активно ведет себя это приложение, пытаясь "прорваться", когда авторизатор стоит в режиме "локальная сеть".
__________________
We are programmed to receive...
---
<span style="font-family:Times New Roman Times serif">Si vis pacem para bellum

</span><a href="http://www.beeline-inet.com/php/viewtopic.php?f=9&t=172" target="_blank">http://s2.ipicture.ru/uploads/081009...ysRBXFb5ft.gif
</a>
Eagle вне форума   Ответить с цитированием
Старый 21.01.2007, 00:12   #13
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Может енто пригодится для пользователей сети? если нет то я завтра удалю посты, ссорьки что нашумел в теме
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 00:14   #14
Lyoshka
Местный
 
Аватар для Lyoshka
 
Регистрация: 04.07.2006
Адрес: Рабочая
Сообщений: 259
Отправить сообщение для Lyoshka с помощью ICQ
По умолчанию

strateg
Хорошая статья! Надеюсь, ее прочитают все те, кто еще не знает об таких программах.

strateg и/или Efendy
А какой Фаерволл порекомендовали бы лично Вы? Я пользуюсь Аутпостом, раньше был Зона Аларм.
__________________
Любовь вечна...
Меняются только партнеры!

Чем больше я узнаю людей, тем больше я люблю животных. (С)перто
Lyoshka вне форума   Ответить с цитированием
Старый 21.01.2007, 00:18   #15
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Цитата:
Originally posted by Lyoshka@Jan 21 2007, 01:14 AM
[b]strateg
Хорошая статья! Надеюсь, ее прочитают все те, кто еще не знает об таких программах.

strateg и/или Efendy
А какой Фаерволл порекомендовали бы лично Вы? Я пользуюсь Аутпостом, раньше был Зона Аларм.
Скромно потупив очи, ну я сидел на зоне аларм несколько лет давно еще, потом ушел на аутпост, сиджу щас на 3,51 ушел с 4... версии, так как на фансайте аутпоста и руборде народ слегка недоволен енто версией... Насчет зонеаларма знаю что они купили недавно движок каспера себе в фаервол. Вот наверное и все, ах да, неправильно настроенная стенка ента капец


ЗЫ Енто не мои статьи, вы ничего такого не подумайте, енто олег зайцев который свою прогу написал AVZ. многие в инете уходят на неё с Lavasoft Adware.
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 00:28   #16
Efendy
Местный
 
Аватар для Efendy
 
Регистрация: 01.09.2003
Сообщений: 2,069
По умолчанию

strateg, не удаляй! Полезная статья

Lyoshka, я некоторое время общался с бетатестером аутпоста, на тот момент чел не сильно хорошо отзывался о последней версии, но в целом программа достойна быть на компе. Зон-аларм я юзал давно, как по мне там настроек мало, хотя может все изменилось. Ставь аутпост
__________________
Разработчик биллинговой системы NoDeny . Этой системой будут пользоваться все провайдеры
Efendy вне форума   Ответить с цитированием
Старый 21.01.2007, 00:34   #17
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Вообщем, если не казните за то что накидал то вот еще:
http://virusinfo.info/ очень форум ИМХО толковый по ентому делу
http://z-oleg.com/secur/ сайт олега зайцева
http://forum.five.mhost.ru/index.php фан-сайт аутпоста
http://www.securitylab.ru/ енто известный сайт, но вроде когда то его народ считал типа заказным, не буду утверждать давно енто было
http://www.viruslist.com/ru/ все о вирусах, ну полезно типа.

вот тут на компе еще разные статьи понаходил но не знаю, наверное и ентого ужо хватит
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 00:35   #18
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Инструкция по удалению вредоносных программ
--------------------------------------------------------------------------------

Итак, вы заметили что Ваш компютер стал вести себя странно. Открываются непонятные окошки, меняется стартовая страница, компютер работает медленно...
Что делать?

Вариант 1: Читать и выполнять http://virusinfo.info/showthread.php?t=1235 и мы постараемся Вам помочь.
Вариант 2: Попытаться справиться с заразой своими силами.

Вариант 1 понятен, потому перейдём к рассмотрению варианта 2.

Начнём от простого к сложному. Если по ходу чтения вы обнаружили что не понимаете о чём идёт речь, значит вам пора остановиться, выполнить все советы которые вы понимаете, и, если не помогло, обратиться к варианту 1.

Презжде всего, если у Вас есть возможность сделать резервную копию системного диска - сделайте её. Если нет - скопируйте хотя бы наиболее важную для Вас информацию. Существует вероятность что в процессе лечения больной может умереть Хотя она и невелика, не стоит ей пренебрегать.

До того как Вы приступите к лечению:
1. Прочитайте данную тему http://virusinfo.info/showthread.php?t=1431 и убедитесь что защита вашего компютера соответствует рекомендациям. Иначе лечение не даст никакого результата.
2. Все нужные программы скачайте заранее. Если Вы подозреваете что у Вас завёлся вирус заражающий файлы, все нужные программы скачайте на чистом компьютере, и запишите на CD.
3. Если у Вас не был установлен межсетевой экран (firewall), не устанавливайте его на зараженную систему. Если всё же Вы установили его на зараженную систему, то после лечения сделайте ему деинсталяцию (с удалением всех настроек) и установите его заново.
4. Перед началом лечения желательно отключить компьютер от сети (потому все нужные программы нужно скачать до этого), и подключить его только после завершения лечения и установки межсетевого экрана.
5. Перед началом лечения убедитесь что у Вас стоит последняя версия используемого Вами антивируса и антиспай, и обновите их базы.
6. Выключите любые программы обеспечивающие защиту реестра от изменений, иначе они будут защищать вредоносные ключи мешая лечению.
7. Зайдите в Add/Remove Software и сделайте деинсталяцию всех программ которые Вам не нужны, или которые Вы не устанавливали.

Теперь приступим к лечению. (Перед началом лечения желательно отключить компьютер от сети.)

Лечение, часть 1. Стандартные методы.
1. Отключите восстановление системы (только для Windows Me/XP). Если не знаете как, смотрите примечание 1 ниже.
2. Перегрузите компьютер в безопасном режиме (Safe mode). Для загрузки в этом режиме нажать F8 в самом начале загрузки Windows и выбрать "Безопасный режим" (Safe mode).
3. Просканируйте компьютер антивирусом, а так же другими программами для больбы с вредоносными программами которые у Вас имеются. Некоторые антивирусы могут не работать в безопасном режиме. В таком случае сканируйте в обычном режиме. Если антивирус (и другие программы) что-то находят и дают Вам возможность выбора лечение или удаление, всегда сначала выберайте лечение. Если антивирус пишет что файл неизлечим - удаляйте его. На сегодняшний день большинство вредоносных программ не являются вирусами, и единственное что с ними можно сделать - это удалить их.
4. Перегрузите компьютер и повторите пункты 2,3. Если при повторном сканировании ничего не найдено, перегружайтесь в обычный режим, и не забудьте установить межсетевой экран и включить восстановление системы. Если опять найдено что-то вредоносное, можно попробовать повторить пункты 2,3 еще пару раз. Иногда это помогает.
5. Вы выполнили всё описанное выше но это не помогло. Т.е. вредоносные программы продолжают обнаруживаться, либо все антивирусные программы молчат, но проблема всё же существует. Это значит Вам повезло подхватить что-то новое или особо зловредное, и стандартные методы не проходят. Значит перейдём к нестандартным.

Лечение, часть 2. Нестандартные методы.
1. Антивирус или другая программа находят что-либо вредоносное, но не могут удалить.

Если у вас файловая система FAT32, то всё просто. Создаёте системную дискетку, загружаетесь с неё и удаляете что нужно. Если NTFS, то дело немного сложнее.
* Если у Вас установлена еще одна копия Винды, то можно загрузиться в неё, и удалить файл оттуда.
* Если у Вас есть загрузочный CD позволяющий работать с NTFS, загрузитесь с него и удалите. Если нет, то можете попробовать соорудить его в соответствии с инструкцией опубликованной вот тут: Создание базового Windows XPE Live CD
* Можно так же подключить харддиск к другому компьютеру и удалить нужный (вернее ненужный ) файл.

Если всё это не подходит - попробуйте возпользоваться программой Pocket Killbox (локальная копия)

2. Антивирус находит и всё удаляет, но после рестарта (или просто через какое-то время) "зверь" появляется вновь. Тут возможны 2 варианта:
2.1 "Зверь" приходит через сеть используя уязвимость Винды. Убедитесь что у Вас стоят все заплатки, межсетевой экран установлен, включен и работает.
2.2 У вас поселился дроппер, програмка которая заново создаёт "зваря" на диске после удаления. Его нужно найти методами описанными ниже, или обратившись к нам за помощью.

3. Итак, самое интересное. Антивирус и другие программы ничего не находят, но Вы думаете что на компьютере всётаки присутствует "зверь". Как же его искать?

3.1 Самый простой способ, который срабатывает во многих случаях, но не всегда. Скачиваете програмку HijackThis, делаете лог, и скармливаете его автоматическому анализатору логов http://www.hijackthis.de/en после чего изучаете отчёт.


Учтите, данный анализатор не редко ошибается, и может предложить Вам удалить безопасные, или даже необходимые для нормальной работы файлы.

Перед удалением любых файлов нужно проверить что они действительно вредоносные, например при помощи сервиса VirusTotal. Там же стоит проверить любые файлы ссылка на которые присутствует в логе, даже если Вам кажется что это что-то полезное. Различные трояны нередко маскируются под полезные программы (имеют похожие или такие же имена файлов как распространённые программы или файлы системы). После нахождения всех вредоносных файлов, отметьтьте строки в который присутствуют ссылки на них в HijackThis. Так же отметьте строки в которых присутствуют ссылки на неизвестные Вам сайты. После этого нажмите на кнопку Fix. Всё выбранное будет удалено. На всякий случай проверьте что все вредоносные файлы на самом деле удалены. Если какие-то файлы не удалились - удалите их как описано в пункте 1.
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 00:40   #19
strateg
Модератор
 
Аватар для strateg
 
Регистрация: 25.08.2006
Адрес: Днепропетровск
Сообщений: 557
По умолчанию

Мне часто приходят письма от спамеров, "доброжелателей" и прочих юзеров, которые думают что они анонимны... Развеем же их надежды. Вот, к примеру, пришло мне письмо от одного спамера, рассылающего мне бюллетень "$#*зит", который мне не нужен. Берем его письмо, жмем (в Аутлуке) Файл, потом Свойства, закладка Подробности. Вот что мы видим (помеченные "#" строки - мой комментарий):

Return-Path: test@moscow.portal.ru
# все идеально... вот только этот Return-Path можно подделать, так как мы его ставим в настройках сами Received: from users.portal.ru (root@users.portal.ru [195.16.96.19])
# ага, вот через этот SMTP сервер и было получено письмо
by net.sochi.ru (8.9.1/8.9.1) with ESMTP id OAA07534;
Thu, 25 Feb 1999 14:15:39 +0300 (MSK)
# дата получения сообщения моим сервером
(envelope-from elf@moscow.portal.ru)
Received: from default (ppp-1-56-en.portal.ru [195.16.98.57])
# А вот он, попался; кстати, в настройках Виндов у него стоит имя хоста - default, а его IP - 195.16.98.57. Вот мы и узнали его IP, его провайдер - www.portal.ru, login - ppp-1-56-en. Такой логин, скорее всего, говорит о том, что провайдер выделяет IP адреса динамически (то есть он в Инет заходит с обычного дайл-апа). Да, это усложняет нашу задачу:


by users.portal.ru (portal/portal) with SMTP id OAA16807;
Thu, 25 Feb 1999 14:03:05 +0300
From: "Test"
To: "=?koi8-r?B?987JzcHOycAg0s/T08nK08vJyCDU1dLGydLNIQ==?="
Subject: Bulletin "Visit"
Date: Thu, 25 Feb 1999 14:03:40 +0300
Message-ID: 01be60ae$806c26a0$396210c3@default
# если очень уж хочется настучать провайдеру о нем или, если повезет, узнать о нем побольше, номер письма может пригодиться.
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00A5_01BE60C7.E81E2280"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 4.71.1712.3
# пользователь Аутлука
X-Mimeole: Produced By Microsoft MimeOLE V4.71.1712.3
X-UIDL: 0c1adfa61e9031e7565b0535b7d58a52


Это я рассмотрел "легкий случай" с одним сервером - посредником... Вот посложней. Ты, конечно, получал письма с предложением получить денег (совет - стирай их сразу). Вот то же самое пришло и мне. А если я тебе скажу, что через 10 минут я узнал Имя, Фамилию, Телефон, место работы, должность, а также всю биографию директора фирмы из локальной сетки, откуда писал спамер... А также, имея его локальный адрес - вышел на него самого... Обо всем читай ниже:


Return-Path: SUCCESS.REPORT-99@mail.bb-online.dk
# Здесь все ясно
Received: from mail.bb-online.dk ([194.239.250.70])
# подставной e-mail
by net.sochi.ru (8.9.1/8.9.1) with ESMTP id UAA10138
for ; Wed, 24 Feb 1999 20:54:36 +0300 (MSK)
(envelope-from SUCCESS.REPORT-99@mail.bb-online.dk)
# это мой мэйл-сервер
From: SUCCESS.REPORT-99@mail.bb-online.dk
# Неправда
Received: from mail.bb-online.dk (170-244-26.ipt.aol.com [152.170.244.26])
by mail.bb-online.dk (8.8.8/8.8.5) with SMTP id TAA10595;
Wed, 24 Feb 1999 19:28:57 +0100


Received: from tengu.host2u.net (tengu.host2u.net [208.150.156.42] by tengu.host2u.net (8.8.5/8.6.5) with
# Имя локального хоста можно подделать без усилий, но IP в квадратных скобках и локальный адрес в круглых - выдал его с головой.
SMTP id GAA06279 for ; Wed, 24 Feb 1999 08:00:58 -0600 (EST)
# Тоже интересный адрес, но это не то, о чем ты подумал
To: sucsess@FWP.NET
Message-ID:
Date: Wed, 24 Feb 99 08:00:58 EST
Subject: $$$
Reply-To: sucsess@FWP.NET
X-PMFLAGS: 128 0
Comments: Authenticated sender is
X-UIDL: 33239456098756743245607948572636
Узнай как можно больше подробностей


Начнем наше разбирательство по этому случаю: первый е-мэйл, указанный в Return-path'е - подставной (100%). Зачем спамеру давать свой реальный ящик? А mail.bb-online.dk - подставной сервер посылки почты. Этим я занялся первым делом. Зашел на www.bb-online.dk и узнал, что это немецкий провайдер, предоставляющий размещение виртуальных серверов, и главное, что у него открыт 25 порт для всех - то есть через него можно слать почту без проблем. Вот этой фишкой и воспользовался спамер, точнее не он сам, а тот, кто продал ему e-mail адреса жертв (мой тоже, правда я ума приложить не могу, откуда он там взялся - скорее всего, перепродажа адресов). Очень интересным показался мне адрес sucsess@fwp.net, поэтому я зашел на www.fpw.net, который оказался сайтом Yelow Pages (то есть сайтом с кучей ссылок, или рубрикатором, по-русски). Мне там предложили оставить свой e-mail, на что я ответил вежливым отказом. Все ясно, fpw - это и есть тот сервер, который продал мой e-mail и послал мне спам. Вся эта информация, конечно, нужна, но хотелось узнать, кто же настоящий заказчик.


Это можно сделать так:
Посмотреть на последний заголовок Received From - tengu.host2u.net. Оказался лажой - я это тоже проверил через Интернет Маньяка и просто написав этот адрес в броузере.
Проверить IP. А вот IP в квадратных скобках - интересный... Я сделал Host LookUp (это делается любой прогой, типа CyberKit) и увидел www.eric.com. Ну а дальше все ясно. Бегом на сайт, смотрим about, читаем Contacts и все. Вот там-то я и узнал о начальнике спамера. Удачи!
strateg вне форума   Ответить с цитированием
Старый 21.01.2007, 01:00   #20
Atrox
Местный
 
Аватар для Atrox
 
Регистрация: 02.12.2006
Адрес: Лев.666
Сообщений: 423
Отправить сообщение для Atrox с помощью ICQ
По умолчанию

У меня есть такие фаерволы:1) Agnitum Outpost Firewall Pro 2.5.365.366,
2) BlackICE, 3) outpost
Подскажите, каким лучше всего пользоваться и если возникнут вопросы по настройке фаервола, к кому можно будет обратиться?!
Atrox вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +2, время: 12:11.