Разблокируем социальные сети
компьютеры & интернет » Безопасность
Автор совета: Анатолий Шуколюков Дата публикации: 10.01.2011
С каждым днем аудитория интернета, в том числе и социальных сетей, увеличивается в геометрической прогрессии. Доступ к персональным данным пользователей - лакомый кусок для злоумышленников. Сначала целью хакеров была просто кража аккаунтов. Но в прошлом году появился новый способ выманивания денег злоумышленниками...
Итак, основной принцип кражи пароля соц. - сети это подмена адреса сайта. Как же они это делают? Все просто! Вам приходит ссылка либо от знакомого, либо от другого лица, с предложением взглянуть, к примеру на фотографию и т.п. Вы охотно открываете ссылку, скачиваете файл. Обращаю ваше внимание, часто на обычный исполняемый файл, то есть *.exe, ставят значок файла картинки и называют, например “Foto.jpg.exe”. Пользователь думает, что это на самом деле картинка и запускает файл. После этого вирус начинает действовать! Основные принципы работы таких вирусов:
-Прописывается в автозагрузку
-Копируется в скрытую папку
-модифицирует файл C:\Windows\System32\Drivers\etc\hosts
После изменение файла hosts вирусом, его содержимое выглядит примерно так:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
102.54.94.97 vkontakte.ru
102.54.94.97 odnoklassniki.ru
102.54.94.97 drweb.com
102.54.94.97 vk.com
Добавив строку «102.54.94.97 vkontakte.ru» вирус сделал переадресацию на фейковую (фальшивую страницу). Она ничем не отличается от настоящей и даже в адресной строке будет написан настоящий адрес vkontakte.ru
Другая ситуация: вы открываете сайт вконтакте или другой соц. сети и видите сообщение, что вы заблокированы и нужно отправить смс для активации. Ни в коем случае не отправляйте сообщение! Отправляя смс, с вашего счета снимают до 700 рублей. И в этом случае виноват вирус, который изменил уже знакомый нам файл hosts. Как бороться с ним расскажу ниже.
Не так давно я исследовал модификацию вируса изменяющего файл hosts. Оказалось, что вирус делает скрытую копию файла в папке C:\Windows\System32\Drivers\etc\. А также ставит на файл атрибуты «Только чтение» и «Скрытый».
Новые модификации вируса изменяют ключ системного реестра, которая отвечает за местонахождение файла HOSTS.
Ключ находиться поадресу «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters»
Параметр:
DataBasePath= %SystemRoot%\System32\drivers\etc
Итак чтобы вылечить свой компьютер, нужно следовать алгоритму:
1) Загрузить любой менеджер автозагрузки и проверить программы, запускающиеся при старте операционной системы. Если вам сложно выявить подозрительные файлы, копируйте названия запускающейся программы (например «Servicеon.exe») и вставляйте из буфера обмена (клавиши Ctrl+V или кликом правой кнопки мыши) в любой поисковик. Жмите "Искать", поисковик выдаст ссылки - по ним можно понять вирус это или нет.
2) Скачайте портативную версию антивируса, например, DrwebCureIT(~20-30мб) или KasperskyRemovalTool(~70мб).
3) Проверьте файл hosts впапке C:\Windows\System32\Drivers\etc. Откройте текстовым редактором и удалите все что связано с сайтами.
Оставьте только запись: «# 127.0.0.1 localhost». И сохраните файл.
(Утилита от DrwebCureIT автоматически восстанавливает файл hosts, можно использовать ее)
4) Проверьте соответствует ли ключ реестра в ветке: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters значению параметра DataBasePath=%SystemRoot%\System32\drivers\etc.
Для этого нажмите на клавиатуре комбинацию клавиш: Win+R, затем в открывшемся окне напишите (без кавычек) regedit.exe и нажмите ОК. Появиться редактор реестра. С левой стороны будут разделы: HKEY_Classes _ROOT, HKEY_и тд. Нам нужен раздел HKEY_LOCAL_MACHINE. Выбираем его, появляется выпадающий список, по тому же алгоритму находим раздел «SYSTEM\CurrentControlSet\services\Tcpip\Parameters». Справа появились параметры.
Нам нужен параметр «DataBasePath». Справа от него будет значение
%SystemRoot%\System32\drivers\etc
Если там другое значение то щелкните 2 раза мышкой по параметру и замените значение.
Рекомендации по защите:
- Используйте самые свежие базы вашего антивируса
- Если у вас ОС Windows Vista или Windows 7, в панели управления выберите пункт: Учетные записи пользователей - Изменение параметров контроля учетных записей. В открывшемся окне поднимите флажок до 3 снизу отметки.
Это предотвратит изменение файлов Windows вирусами.
- Используйте учетную запись обычного пользователя, а не администратора. В ограниченном режиме у вируса практически нет шансов изменить параметры и файлы.
Полезные ссылки по теме:
- http://www.freedrweb.com/cureit/?lng=ru - скачать Drweb CureIT
- http://www.unvk.totalh.com/ - Unlock Vkontakte
- http://www.shlp.net.ru/files/SALoader_Portable.zip - Simple Assistant Loader (лечение файла hosts и удаление ключей из реестра)
- http://support.kaspersky.ru/viruses/utility - Утилиты от Касперского
Блог автора совета - http://shadylab.blogspot.com/
Если вам понравился совет и вы считаете, что он лучший среди советов, присланных в январе на Конкурс советов, проголосуйте за него в форме для конкурсного голосования слева. Возможно именно ваш голос будет решающим и автор полезного совета получит ценный приз!
Последние советы раздела «компьютеры & интернет»:
Получаем большое количество денег в GTA 5
5 плюсов общения в видеочате
Как и зачем получать онлайн-образование
Как проверить скорость интернета на ноутбуке
Как и зачем стоит купить прокси-сервер
Программа для восстановления удаленных файлов
Скачать игры на Андроид бесплатно
Преимущества дистанционного обучения
Как выбрать смартфон в 2018 году
Советы по выбору смартфона
Комментарии совета:
Комментарий добавил(а): Евгений Андросов
Дата: 06.05.2015
Иван! Очевидно, что если проблема с Одноклассниками, то и обращаться нужно к администрации этой социальной сети. Больше никто вам помочь не сможет.
Комментарий добавил(а): Иван Жартовский
Дата: 05.05.2015
При каждом входе в одноклассники требует пароль а при вводе отвечает не верный и таким образом каждый раз приходится менять.Сейчас вообще не дают кода на телефон.В чём причина не знаю и что делать? Куда обратиться?
Комментарий добавил(а): Артём Аленин
Дата: 26.11.2013
Raul, вам нужно подробно проверить реестр на наличие левых веток. Просканируйте систему утилитой от Malwarebytes. Вот ссылка на скачивание: http://www.malwarebytes.org/mwb-download/
Комментарий добавил(а): Raul
Дата: 26.11.2013
Host - чистый, скрытых нет registry в норме, почистил все куки и темпы, проверил лицензионным каспером - всё чисто, но все сети заблокированы (с другого компа всё работает)
Комментарий добавил(а): grinGO
Дата: 16.11.2013
Точно такая же ерунда-хост в порядке (переписал сам)скрытых папок нет,Каспер и Курейт ничего не накопали, отключал антивир и файер,прошарил ключи в реестре...Сносить Систему?((((((
Комментарий добавил(а): Денис
Дата: 15.11.2013
Я хост проверял и удалял, в реестр заглянул, касперского, курейт и ц клинер запускал.......не помогло. Может еще варианты есть?
Комментарий добавил(а): славик
Дата: 07.11.2012
я уже ето проходил!а так добавлю что блокнот надо з правами админа откр!кароче всё можна ручками зделать без горе програм!
Комментарий добавил(а): Юрий
Дата: 25.08.2012
а еще можете зайти на fmgameradio и послушать музыку ищем партнеров для сотрудничества
Комментарий добавил(а): Юрий
Дата: 25.08.2012
а у меня когда открываешь блокнот, выходит пустая страничка. что делать??? Значит файл не тот этот файл наёбка.. активируйте показ скрытых файлов...
Комментарий добавил(а): евгений
Дата: 19.08.2012
отличный сайт.спасибо создателям!!
Комментарий добавил(а): настя
Дата: 04.08.2012
а у меня когда открываешь блокнот, выходит пустая страничка. что делать???
Комментарий добавил(а): Тарфан
Дата: 07.10.2011
Вроде бы все понял сейчас попробую че нить ссделать спасибо!
Комментарий добавил(а): Катерина
Дата: 31.08.2011
Отличный сайт!!! ;) Много всего полезного и интересного.
Комментарий добавил(а): Лика
Дата: 24.01.2011
Очень хороший сайт, особенно, для новичков. Спасибо за полезную информацию.
Добавить комментарий
Имейте, пожалуйста, ввиду, что любые ссылки, html-теги или скрипты, будут выводиться в виде обычного текста - бессмысленно их использовать. Комментарии, содержащие нецензурные выражения, оскорбления, флуд и рекламу будут немедленно удалены.
Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)