Fiecare dintre noi sa confruntat cu tot felul de SMS-blocante, dacă nu pe computer, apoi pe mașinile prietenilor. Aceste lucruri sunt greu de numit viruși, dar provoacă și multe probleme.
Astăzi, vom încerca să studiem receptoarele criminalilor cibernetici, pe care îi folosesc pentru a scoate din populație bani câștigați sincer.
Fixarea în sistem
Imaginați-vă că malware-ul rău a pătruns deja în sistem. Un utilizator naiv a descărcat și lansat un exe'shnik rău intenționat, care trebuie să asigure, în primul rând, o activitate "normală". Pentru a face acest lucru, programul trebuie să se înregistreze la pornirea cu Windows. Mulți știu foarte bine ce și unde este responsabil pentru lansarea programelor imediat după lansarea sistemului nostru preferat, dar voi mai lista opțiunile posibile din nou.
Dosarele de pornire sunt cunoscute de orice utilizator. Tot conținutul acestora poate fi văzut în meniul principal Windows, fizic fiind localizat în profiluri de utilizatori, de exemplu C: \ Documents and Settings \ admin \ Main Menu \ Programs \ Startup \. Desigur, în loc de admin, puteți înlocui "Toți utilizatorii sau utilizatorul implicit".
Tot felul de lucruri răuvoitoare utilizează rar acest loc pentru lansare, deoarece chiar și utilizatorii neexperimentați pot detecta fișierele străine din aceste directoare. Cu toate acestea, ca o garanție suplimentară pentru începerea cu succes a acestui loc este destul de utilă, deci nu ar trebui să o ocoliți atunci când căutați programe malware pe computerul infectat.
Fișiere de sistem cu o listă de programe descărcate moștenite de la sistemul de operare Windows modern de la rudele lor de 9x - Windows 98 și Windows 95. Primul fișier este win.ini, în care există o secțiune [windows], care, la rândul său, poate conține intrarea "run = run_program". De asemenea, există un sistem file.ini, în secțiunea [driver32] care ar trebui să verifice prezența unui parametru al formularului "driver_name".
În plus față de bine-cunoscute cheie HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ și HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ cu frații lor, pentru un singur RunOnce alerga, există tot felul de ramuri de registru, din care programul poate începe.
De exemplu, dacă utilizați IE, și brusc a început să se comporte ciudat (arată tetenecks goale sau deschide site-uri ciudate), merită o privire aici:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Obiecte Helper Browser \.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit \
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notificare \.
Aceste sucursale de registru vă permit să rulați o varietate de fișiere executabile (exe, programe, servicii sau dll).
Apropo, ultima cheie de sarcini dll user la explorer.exe, ceea ce înseamnă că codul rău intenționat va funcționa chiar și în modul de siguranță.
Este necesar să se acorde o atenție la HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Executarea Image File Options \ Imya_progammy \ - Imya_progammy la lansare va rula software-ul specificat în parametrul șir Debugger. Un alt program inteligent poate folosi asocierile de fișiere în registru.
Adică, atunci când executați, de exemplu, un fișier txt, va începe mai întâi software-ul rău intenționat, care va rula apoi un program real care funcționează cu acest tip de fișiere. De asemenea, virusul poate fi încărcat în memoria calculatorului cu ajutorul politicilor de grup. Cheia HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run este responsabilă pentru acest lucru. care conține parametri cu căile programelor lansate.
În general, locurile unde puteți începe obtinerea de pe computerul SMS-blocant sau altă infecție, o mulțime, dar verifica-le suficienta (daca nu sunt folosite tehnici speciale de mascare), mai ales dacă folosiți instrumente specializate, cum ar fi HijackThis utilitate.
Defensive Redoubts
Trebuie să spun că antivirusurile frauduloase, care sunt mai orientate spre vest, aproape nu folosesc astfel de trucuri. Adică, dacă sistemul nostru național de blocare a SMS-urilor poate paraliza complet computerul, Malvar vorbitor de limbă engleză nu o face. Motivul, cel mai probabil, este că, în aceleași state, legislația pentru astfel de farsări este mult mai strictă. În plus, locuitorii locali nu plătesc pentru servicii electronice prin SMS, pentru care au carduri bancare, și, după cum se știe, Visa și MasterCard sunt foarte zeloși în ceea ce privește ordinea în rândul clienților lor. O plângere furioasă de la un utilizator de încredere - și facturarea care procesează procesarea plăților pentru Fraud Antivirus, își poate pierde pentru totdeauna licența.
Primul este DisableRegistryTools. Dacă atribuiți o valoare de 1, The regedit.exe nu ar începe. O alta este să acorde o atenție la DisableRegedit parametru, care poate fi, în plus față de secțiunea HKCU și apoi un alt - HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. Pentru a dezactiva opțiunea de pornire "Task Manager" este utilizat DisableTaskMgr în HKCU \ Software \ Microsoft \ \ CurrentVersion \ Policies \ Windows System. Desigur, malware-ul poate interzice lansarea anumitor programe. Acest lucru se face din nou prin intermediul politicilor de securitate. În cazul în care cheia HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer va avea parametrul RestrictRun cu o valoare egală cu una, și este, de asemenea, conectat RestrictRun, care conține o listă de exe-fișier, utilizatorul poate rula numai programele care sunt în această listă.
Pentru lista neagră, utilizați parametrul și tasta DisallowRun, ceea ce va face imposibilă lansarea anumitor programe. Deja acest set de limitări permite Malvari să se protejeze suficient de încălcări ale vieții lor. Chiar dacă încercați să încercați instrumente non-standard pentru monitorizarea proceselor și editarea registry, acestea pot fi blocate utilizând DisallowRun sau RestrictRun. Și aceasta nu este singura modalitate de a împiedica lansarea a ceva în sistemul infectat! De exemplu, malware-ul poate reasocia lansarea programelor prin setarea propriului corp în parametrul implicit pentru comanda HKEY_CLASSES_ROOT \ exefile \ shell \ open \.
Alternativ, jucați cu subcheiile din Opțiuni de executare fișier imagine HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion. Dar, din păcate, metodele menționate mai sus nu se limitează la malvar. Creatorii ideii lor pot bloca unele setări desktop, setări pentru afișarea fișierelor în explorator și așa mai departe. Dar acest lucru vom lua în considerare mai jos, împreună cu întreruperea Internetului, deoarece toate aceste trucuri servesc mai mult pentru a intimida utilizatorul decât pentru a proteja malware-ul.
Impact asupra utilizatorului
Cea mai importantă sarcină a unui software fraudulos este de a atrage un utilizator cu o anumită sumă de bani. Această sarcină într-o oarecare măsură poate fi numită chiar și creativă - este necesar să sperie utilizatorul că el nu a fost foarte rău pentru sângele său, a trimis SMS și, în același timp, nu a decis să scape în mod independent de Malvari. Prin urmare, dezvoltatorii de programe malware includ imaginația lor la maxim. Metoda cea mai banală și cea mai comună pentru a influența utilizatorul este fereastra nedistructivă. Nu poate fi închisă, nu poate fi minimalizată, se blochează pe toate celelalte ferestre de pe desktop și, în unele cazuri, chiar monopolizează focalizarea de intrare.
Pentru a realiza un astfel de efect este într-o clipă, și folosind instrumente standard pentru Windows. API-funcția de CreateWindowEx, responsabil pentru crearea de ferestre, care are o mulțime de opțiuni, printre care dwExStyle și dwStyle, permițând programatorilor autorilor fraudelor pentru a obține efectul dorit. De exemplu, trecând funcția ca prima valoare argument WS_EX_TOPMOST, vom face fereastra apărea întotdeauna pe partea de sus a tuturor celorlalte ferestre care nu au acest atribut, și puteți obține de joc dwStyle absența oricărui control în bara de titlu, sau chiar a scăpa de acest titlu.
Pentru ca fereastra de blocare a SMS-urilor să nu fie închisă, interceptează, de obicei, mesajul WM_CLOSE, de la manipulatorul care a fost eliminat codul de închidere standard al ferestrei. În general, cu ajutorul acestor mesaje puteți face multe lucruri interesante. De exemplu, malware-ul poate procesa WM_MOUSELEAVE și, în cazul în care cursorul mouse-ului părăsește partea client a ferestrei, returnați-o înapoi. Cu cât programatorul este mai inteligent, cu atât mai mult el poate să vină cu niște trucuri.
Dar numai fereastra omniprezentă nu se limitează, de obicei. Există, de exemplu, cazuri care schimbă fundalul pe desktop. De obicei, un astfel de truc este folosit de contra-viruși-contrafăcute. Pe desktop apare ceva asemănător cu o pictogramă de armă chimică și o inscripție formidabilă, iar când faceți clic pe spațiul gol al ecranului, se deschide o pagină web cu oferta de a cumpăra software "util". Se face foarte simplu, nu este nevoie să inventăm biciclete - în Windows există o oportunitate uitată de a afișa o anumită pagină web pe desktop - cu toate consecințele care rezultă.
Căi folosite și mai rafinate. De exemplu, interfețele WMI permit aplicațiilor să primească notificări despre procesele care au început (și, în general, o mulțime de alte informații). Malware poate monitoriza cu WMI lista proceselor care rulează pe sistem și atunci când începe o nouă aplicație, efectuați anumite acțiuni, de exemplu, închideți procesul nou creat și afișați un mesaj cu un apel plin de bucurie de a plăti și de a dormi liniștit. Foarte des puteți afla că browserul de Internet refuză să afișeze anumite părți ale World Wide Web, de exemplu, site-uri de companii antivirus sau motoare de căutare. Este ușor de ghicit că acest lucru se face pentru ca victima să experimenteze efectul malware-ului cât mai mult timp posibil. Poți să faci o scurgere asemănătoare murdară de moduri diferite.
De multe ori, este practic imposibil (în cazul unor site-uri mari, cum ar fi Yandex, Google și altele), astfel încât prin modificarea rutarea codere rele de multe ori pur și simplu taie utilizatorul de Internet nu este deranjat cu blocare selectivă. Cu gazde și proxy poate organiza chiar și un simplu phishing, înlocuind pagina originală foarte asemănătoare. Ca opțiune, trimiteți doar în litere mari cu majuscule mesajul "Trimiteți SMS". Desigur, înlocuiți pagina poate fi nu numai pe partea de server, dar, de asemenea, la nivel local, folosind toate extensiile preferate pentru browsere. De exemplu, în IE, acestea sunt BHO cunoscute. Neobservata prin instalarea acestei extensii, puteți administra în mod flexibil conținutul paginii web afișată. De exemplu, Froud-Virus poate înlocui „rău“ pentru un link la rezultatele motorului de căutare, ca de obicei, dacă tastați numele unui astfel de software în Google, primul link este instrucțiunea cu privire la modul de a scăpa de acest software.
concluzie
În acest articol, ne-am dat o departe de listă completă de cascadorii și trucuri care utilizează zlovredymoshenniki moderne. Codificatoare, care au scăzut la partea întunecată, în mod constant a veni cu noi trucuri și metode de influență asupra utilizatorilor care respectă legea rețelei. Dar, având cel puțin o mică idee de ce și cum se SMSbloker infamul poate avea de a face cu ea. Dar această luptă a fost la fel nedureroase posibil, va recomand cu tărie pentru toată lumea în afară de abrupt anti-virus, folosind un cont cu drepturi limitate, la fel ca în Linux și MacOS-virus tocmai pentru că nu sunt ședinței ca root.
Articole similare
-
Cum de a practica realitatea augmentată google tango - știri
-
Cum funcționează john deere 7720, prezentare generală a mașinilor agricole
-
5 Motive pentru a renunța la cumpărarea unui nou iPad, știri și recenzii ale iPad-ului
Trimiteți-le prietenilor: