From: дружище
Сумма знаний – не ум. Люди, похоже, вообще не умнеют.
Только что случилось. Вышел я прогуляться через дорогу, в магазин. Звонит мне мой напарник с работы и начинает плакаться - на мэйл.ру зайти не может, яндекс не открывается... В общем, Интернет не работает.
- Как это случилось?
- Мне друг прислал программу, я открыл посмотреть, вижу - что-то не то...
Все понятно. У друга на компе новенький триппер (компьютерный вирус), свежий, еще муха не сидела. Опять, блин, буду санитаром.
- Вы лошара. Сколько уже было говорено - не открывай пришедшие по почте проги.
- Да я уже понял. А что теперь делать-то?
- В идеале - засечь время, форматнуть системный раздел винта, переставить винду, после установки антивируса просмотреть на остальных разделах, что изменилось при запуске подозрительной программы (определить по отмеченному времени).
- Не катит, сегодня еще работать надо.
- Какая винда?
- Экс Пи.
- Тогда зайди в каталог винды, там должна быть папка "system32", в ней "drivers", в ней "etc", в ней файлик "hosts" или "lmhosts" - открой его в блокноте.
- Открыл.
- Там есть строка с "mail.ru"?
- Да, и цифры.
- Правильно. Найди все строки, где есть такие же цифры, как в этой строке и удали эти строки, потом сохрани файл и закрой.
- Готово.
- Теперь зайди в сетевые соединения, рассоединись и снова соединись с Интернетом.
- Сделал.
- Винду переставишь на выходных, можешь пока этой пользоваться, только никакие пароли больше не вводи.
- Добро. Спасибо, пока.
Собственно, беседа была несколько длиннее, я просто сократил брань, внятно изложенную мной опытному, в общем-то, человеку, который додумался запустить пришедшую по почте программу.
Если вы дочитали до этого места - думаю, вам будет интересно, что же все-таки произошло. Кто-то взломал почтовый ящик друга моего напарника и от имени этого друга прислал зловредную программу. Не исключено, что сама программка никаких деструктивных действий не производила (хотя я бы на это не рассчитывал). Одно известно точно - она подменила записи об адресах интернет-сайтов в том самом файле "hosts", и теперь попытка зайти на популярный сайт (например, мэйл, яндекс, одноклассники) приведет на сервер злоумышленника. Страничка на сервере вполне может выглядеть как соответствующий сайт, в адресной строке браузера будет написано именно то, что вы хотите видеть, однако введенные логин и пароль после нажатия кнопки "Enter" уйдут к злоумышленнику.
Теперь он владеет вашим почтовым ящиком, может поменять пароль, а главное - разослать абонентам из вашей адресной книги "интересную программу".
Полагаю, объяснение достаточно подробное. Вывод - программу, присланную по почте, можно запускать при выполнении трех обязательных условий:
1) Вы САМИ попросили прислать ее.
2) Программа в архиве под ПАРОЛЕМ.
3) Пароль НЕ в письме - вы созваниваетесь с другом, и он говорит вам пароль ГОЛОСОМ.
У меня для таких целей на компьютере всегда имеется эмулятор с установленной копией операционной системы (Bosh, Qemu, VirtualPC, WMware – по вкусу). Если уж сильно нужно – сохраните файл и откройте его в виртуальном компьютере, лишенном связи с внешним миром. Программа, ориентированная на нанесение вреда, вряд ли будет поставлять вам параллельно какие-то полезные функции, проверить и разобраться не так уж сложно.
Собственно, это все. Не болейте.
Поляков Александр. Lecosson@mail.ru
Только что случилось. Вышел я прогуляться через дорогу, в магазин. Звонит мне мой напарник с работы и начинает плакаться - на мэйл.ру зайти не может, яндекс не открывается... В общем, Интернет не работает.
- Как это случилось?
- Мне друг прислал программу, я открыл посмотреть, вижу - что-то не то...
Все понятно. У друга на компе новенький триппер (компьютерный вирус), свежий, еще муха не сидела. Опять, блин, буду санитаром.
- Вы лошара. Сколько уже было говорено - не открывай пришедшие по почте проги.
- Да я уже понял. А что теперь делать-то?
- В идеале - засечь время, форматнуть системный раздел винта, переставить винду, после установки антивируса просмотреть на остальных разделах, что изменилось при запуске подозрительной программы (определить по отмеченному времени).
- Не катит, сегодня еще работать надо.
- Какая винда?
- Экс Пи.
- Тогда зайди в каталог винды, там должна быть папка "system32", в ней "drivers", в ней "etc", в ней файлик "hosts" или "lmhosts" - открой его в блокноте.
- Открыл.
- Там есть строка с "mail.ru"?
- Да, и цифры.
- Правильно. Найди все строки, где есть такие же цифры, как в этой строке и удали эти строки, потом сохрани файл и закрой.
- Готово.
- Теперь зайди в сетевые соединения, рассоединись и снова соединись с Интернетом.
- Сделал.
- Винду переставишь на выходных, можешь пока этой пользоваться, только никакие пароли больше не вводи.
- Добро. Спасибо, пока.
Собственно, беседа была несколько длиннее, я просто сократил брань, внятно изложенную мной опытному, в общем-то, человеку, который додумался запустить пришедшую по почте программу.
Если вы дочитали до этого места - думаю, вам будет интересно, что же все-таки произошло. Кто-то взломал почтовый ящик друга моего напарника и от имени этого друга прислал зловредную программу. Не исключено, что сама программка никаких деструктивных действий не производила (хотя я бы на это не рассчитывал). Одно известно точно - она подменила записи об адресах интернет-сайтов в том самом файле "hosts", и теперь попытка зайти на популярный сайт (например, мэйл, яндекс, одноклассники) приведет на сервер злоумышленника. Страничка на сервере вполне может выглядеть как соответствующий сайт, в адресной строке браузера будет написано именно то, что вы хотите видеть, однако введенные логин и пароль после нажатия кнопки "Enter" уйдут к злоумышленнику.
Теперь он владеет вашим почтовым ящиком, может поменять пароль, а главное - разослать абонентам из вашей адресной книги "интересную программу".
Полагаю, объяснение достаточно подробное. Вывод - программу, присланную по почте, можно запускать при выполнении трех обязательных условий:
1) Вы САМИ попросили прислать ее.
2) Программа в архиве под ПАРОЛЕМ.
3) Пароль НЕ в письме - вы созваниваетесь с другом, и он говорит вам пароль ГОЛОСОМ.
У меня для таких целей на компьютере всегда имеется эмулятор с установленной копией операционной системы (Bosh, Qemu, VirtualPC, WMware – по вкусу). Если уж сильно нужно – сохраните файл и откройте его в виртуальном компьютере, лишенном связи с внешним миром. Программа, ориентированная на нанесение вреда, вряд ли будет поставлять вам параллельно какие-то полезные функции, проверить и разобраться не так уж сложно.
Собственно, это все. Не болейте.
Поляков Александр. Lecosson@mail.ru
Компьютерная газета. Статья была опубликована в номере 18 за 2009 год в рубрике интернет