Разблокируем социальные сети

компьютеры & интернет »   Безопасность

Автор совета: Анатолий Шуколюков Дата публикации: 10.01.2011

С каждым днем аудитория интернета, в том числе и социальных сетей, увеличивается в геометрической прогрессии. Доступ к персональным данным пользователей - лакомый кусок для злоумышленников. Сначала целью хакеров была просто кража аккаунтов. Но в прошлом году появился новый способ выманивания денег злоумышленниками...

Итак, основной принцип кражи пароля соц. - сети это подмена адреса сайта. Как же они это делают? Все просто! Вам приходит ссылка либо от знакомого, либо от другого лица, с предложением взглянуть, к примеру на фотографию и т.п. Вы охотно открываете ссылку, скачиваете файл. Обращаю ваше внимание,  часто на обычный исполняемый файл, то есть *.exe, ставят значок файла картинки и называют, например “Foto.jpg.exe”. Пользователь думает, что это на самом деле картинка и запускает файл. После этого вирус начинает действовать! Основные принципы работы таких вирусов:

-Прописывается в автозагрузку
-Копируется в скрытую папку
-модифицирует файл C:\Windows\System32\Drivers\etc\hosts

После изменение файла hosts вирусом, его содержимое выглядит примерно так:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
102.54.94.97     vkontakte.ru         
102.54.94.97    odnoklassniki.ru
102.54.94.97     drweb.com
102.54.94.97    vk.com

Добавив строку  «102.54.94.97 vkontakte.ru» вирус сделал переадресацию на фейковую (фальшивую страницу). Она ничем не отличается от настоящей и даже в адресной строке будет написан настоящий адрес vkontakte.ru

Другая ситуация: вы открываете сайт вконтакте или другой соц. сети и видите сообщение, что вы заблокированы и нужно отправить смс для активации. Ни в коем случае не отправляйте сообщение! Отправляя смс, с вашего счета снимают до 700 рублей. И в этом случае виноват вирус, который изменил уже знакомый нам файл hosts. Как бороться с ним расскажу ниже.

Не так давно я исследовал модификацию вируса изменяющего файл hosts. Оказалось, что вирус делает скрытую копию файла в папке C:\Windows\System32\Drivers\etc\. А также ставит на файл атрибуты «Только чтение» и «Скрытый».

Новые модификации вируса изменяют ключ системного реестра, которая отвечает за местонахождение файла HOSTS.

Ключ находиться поадресу «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters»

Параметр:
DataBasePath= %SystemRoot%\System32\drivers\etc

Итак чтобы вылечить свой компьютер, нужно следовать алгоритму:

1) Загрузить любой менеджер автозагрузки и проверить программы, запускающиеся при старте операционной системы. Если вам сложно выявить подозрительные файлы, копируйте названия запускающейся программы (например «Servicеon.exe») и вставляйте из буфера обмена (клавиши Ctrl+V или кликом правой кнопки мыши) в любой поисковик. Жмите "Искать", поисковик выдаст ссылки - по ним можно понять вирус это или нет.


2) Скачайте портативную версию антивируса, например, DrwebCureIT(~20-30мб) или KasperskyRemovalTool(~70мб).

3) Проверьте файл hosts впапке C:\Windows\System32\Drivers\etc. Откройте текстовым редактором и удалите все что связано с сайтами.
Оставьте только запись:  «# 127.0.0.1   localhost». И сохраните файл.
(Утилита от DrwebCureIT автоматически восстанавливает файл hosts, можно использовать ее)

4) Проверьте соответствует ли ключ реестра в ветке: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters значению параметра DataBasePath=%SystemRoot%\System32\drivers\etc.

Для этого нажмите на клавиатуре комбинацию клавиш: Win+R, затем в открывшемся окне напишите (без кавычек) regedit.exe и нажмите ОК. Появиться редактор реестра. С левой стороны будут разделы: HKEY_Classes _ROOT, HKEY_и тд. Нам нужен раздел HKEY_LOCAL_MACHINE. Выбираем его, появляется выпадающий список, по тому же алгоритму находим раздел «SYSTEM\CurrentControlSet\services\Tcpip\Parameters». Справа появились параметры.


Нам нужен параметр «DataBasePath». Справа от него будет значение
%SystemRoot%\System32\drivers\etc Если там другое значение то щелкните 2 раза мышкой по параметру и замените значение.

Рекомендации по защите:

- Используйте самые свежие базы вашего антивируса
- Если у вас ОС Windows Vista или Windows 7, в панели управления выберите пункт: Учетные записи пользователей - Изменение параметров контроля учетных записей. В открывшемся окне поднимите флажок до 3  снизу  отметки.



Это предотвратит изменение файлов Windows вирусами.

- Используйте учетную запись обычного пользователя, а не администратора. В ограниченном режиме у вируса практически нет шансов изменить параметры и файлы.

Полезные ссылки по теме:


Блог автора совета - http://shadylab.blogspot.com/


Если вам понравился совет и вы считаете, что он лучший среди советов, присланных в январе на Конкурс советов, проголосуйте за него в форме для конкурсного голосования слева. Возможно именно ваш голос будет решающим и автор полезного совета получит ценный приз!








Последние советы раздела «компьютеры & интернет»:

Получаем большое количество денег в GTA 5
5 плюсов общения в видеочате
Как и зачем получать онлайн-образование
Как проверить скорость интернета на ноутбуке
Как и зачем стоит купить прокси-сервер
Программа для восстановления удаленных файлов
Скачать игры на Андроид бесплатно
Преимущества дистанционного обучения
Как выбрать смартфон в 2018 году
Советы по выбору смартфона





Комментарии совета:

Комментарий добавил(а): Евгений Андросов
Дата: 06.05.2015

Иван! Очевидно, что если проблема с Одноклассниками, то и обращаться нужно к администрации этой социальной сети. Больше никто вам помочь не сможет.

Комментарий добавил(а): Иван Жартовский
Дата: 05.05.2015

При каждом входе в одноклассники требует пароль а при вводе отвечает не верный и таким образом каждый раз приходится менять.Сейчас вообще не дают кода на телефон.В чём причина не знаю и что делать? Куда обратиться?

Комментарий добавил(а): Артём Аленин
Дата: 26.11.2013

Raul, вам нужно подробно проверить реестр на наличие левых веток. Просканируйте систему утилитой от Malwarebytes. Вот ссылка на скачивание: http://www.malwarebytes.org/mwb-download/

Комментарий добавил(а): Raul
Дата: 26.11.2013

Host - чистый, скрытых нет registry в норме, почистил все куки и темпы, проверил лицензионным каспером - всё чисто, но все сети заблокированы (с другого компа всё работает)

Комментарий добавил(а): grinGO
Дата: 16.11.2013

Точно такая же ерунда-хост в порядке (переписал сам)скрытых папок нет,Каспер и Курейт ничего не накопали, отключал антивир и файер,прошарил ключи в реестре...Сносить Систему?((((((

Комментарий добавил(а): Денис
Дата: 15.11.2013

Я хост проверял и удалял, в реестр заглянул, касперского, курейт и ц клинер запускал.......не помогло. Может еще варианты есть?

Комментарий добавил(а): славик
Дата: 07.11.2012

я уже ето проходил!а так добавлю что блокнот надо з правами админа откр!кароче всё можна ручками зделать без горе програм!

Комментарий добавил(а): Юрий
Дата: 25.08.2012

а еще можете зайти на fmgameradio и послушать музыку ищем партнеров для сотрудничества

Комментарий добавил(а): Юрий
Дата: 25.08.2012

а у меня когда открываешь блокнот, выходит пустая страничка. что делать??? Значит файл не тот этот файл наёбка.. активируйте показ скрытых файлов...

Комментарий добавил(а): евгений
Дата: 19.08.2012

отличный сайт.спасибо создателям!!

Комментарий добавил(а): настя
Дата: 04.08.2012

а у меня когда открываешь блокнот, выходит пустая страничка. что делать???

Комментарий добавил(а): Тарфан
Дата: 07.10.2011

Вроде бы все понял сейчас попробую че нить ссделать спасибо!

Комментарий добавил(а): Катерина
Дата: 31.08.2011

Отличный сайт!!! ;) Много всего полезного и интересного.

Комментарий добавил(а): Лика
Дата: 24.01.2011

Очень хороший сайт, особенно, для новичков. Спасибо за полезную информацию.

Добавить комментарий

Имейте, пожалуйста, ввиду, что любые ссылки, html-теги или скрипты, будут выводиться в виде обычного текста - бессмысленно их использовать. Комментарии, содержащие нецензурные выражения, оскорбления, флуд и рекламу будут немедленно удалены.


В целях предотвращения спама в комментариях, сделайте, пожалуйста, два действия:

1. Напишите столицу Франции (с заглавной буквы)

2. Введите сумму чисел: 5 + 32 =

Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)