Вирус подмены страниц

Антивирусы, файерволы, антишпионы, шифрование и другие полезные вещи помогающие обезопасить Ваш компьютер

Вирус подмены страниц

Сообщение Helen » 06 мар 2013, 09:13

Недавно познакомилась с вирусом подмены страниц. Зашла на один из сайтов, на который часто захаживаю, но была перенаправлена на совершенно другой сайт с очень похожим дизайном, что даже не сразу заметила. На сайте обнаружилась мошенническая викторина с просьбой ввести свой телефон и т.д.. Я никогда с таким вирусом раньше не сталкивалась, и вообще не сразу поняла, что это именно вирус. Потом почитала в инете, и выяснилось, что это обычное дело. Ты скачиваешь какой-то архив с не очень надежного файлостока и получаешь в комплекте архив с файлами этого вируса. В итоге вы не только рискуете попасть не на тот сайт, адрес которого набрали в браузере, но и получить совершенно некорректную выдачу в поисковике по вашему запросу. Вирус может заменять результаты поиска, предлагая вам совершенно нерелевантные страницы. У меня антивирусник AVG, который не словил этот вирус, правда после сканирования вроде бы справился с ним, но через какое-то время я опять получила переадресацию, уже пытаясь попасть на другой сайт.
Кто с сталкивался с таким вирусом? Как найти и удалить все, что с ним связано? Неужели менять антивир?
Аватар пользователя
Helen
Чайник
 
Сообщений: 9
Зарегистрирован: 04 фев 2013, 09:20

Re: Вирус подмены страниц

Сообщение Вальд » 06 мар 2013, 17:42

То, что вы описали называется "фишинг". И правильнее классифицировать вредоносное ПО, которое вы "поймали", как троян или рекламную программу. Не вирус.
Советую скачать бесплатный антивирусный сканер AVZ (так и вбейте в поисковик). Когда скачаете, отключитесь от интернета и запустите сканер. В нем :

avz1.JPG
рисунок 1


1) Установить галочку в опции (см. рисунок 1) "выполнять лечение".
2) Перейти на вкладку "Параметры поиска".
3) Передвинуть ползунок "Эвристический анализ" до упора вверх. Установить галочки, как на рисунке 2

avz2.JPG
рисунок 2


4) Нажать на кнопку "Пуск" (в программе AVZ зелененькая! Не в винде!). Дождаться конца проверки. Желательно нажать на значок дискетки справа от окна с результатами сканирования и сохранить протокол сканирования.

avz3.JPG
сохранение протокола
avz3.JPG (7.84 KiB) Просмотров: 13605


5) Зайти в пункт главного меню "Файл" программы. Выбрать "Восстановление системы". Поставить галочку напротив опции "очистка файла Hosts"

6) Нажать на кнопку "Выполнить отмеченные операции". Дождаться сообщения о выполнении и перезагрузить машину.

Если проблема осталась - сообщите и выложите протокол проверки. И совет на будущее:

- Сообщайте вашу версию операционной системы.
- Как именно классифицировал вредоносину ваш антивирус, когда "вроде бы справился"

Иначе рекомендации, полученные вами будут носить или слишком общий характер, или вообще неправильный. И самое вежливое, что вам напишут - "телепаты в отпуске." :D
Аватар пользователя
Вальд
Продвинутый Юзер
 
Сообщений: 482
Зарегистрирован: 24 ноя 2012, 08:36
Откуда: Earth

Re: Вирус подмены страниц

Сообщение Helen » 06 мар 2013, 18:22

Спасибо большое за такую подробную инструкцию. Обязательно сделаю и отпишусь, что получилось. Насчет того, что операционку не указала, Вы правы. Действительно, это я маху дала :D . У меня 7-ка стоит, а вот что именно "сказал" антивирус, я конечно не помню уже, удалил "бяку" и удалил, я и забыла сразу. А во втором случае он вообще ничего не нашел ни сам, ни после сканирования. Что интересно, это не каждый раз происходит, иногда спокойно захожу на нужный сайт, а иногда происходит переадресация.
Аватар пользователя
Helen
Чайник
 
Сообщений: 9
Зарегистрирован: 04 фев 2013, 09:20

Re: Вирус подмены страниц

Сообщение blacorr » 06 мар 2013, 22:43

Антивирус Зайцева не раз выручал. Особенно при запуске из "псевдовинды" Win PE с СD/DVD диска или флешки. Можно и из безопасного режима, если он доступен.
Аватар пользователя
blacorr
Продвинутый Юзер
 
Сообщений: 405
Зарегистрирован: 01 ноя 2012, 07:32
Откуда: Луганск

Re: Вирус подмены страниц

Сообщение barbeeq » 27 мар 2013, 10:20

Обычно такие вирусы изменяют системный файл hosts. Если у вас возникло подозрение заражения, то нам необходимо вернуть этот файл в изначальное состояние. Для этого переходим в папку WINDOWS\system32\drivers\etc\ находим данный файл и открываем его с помощью блокнота. Не зараженный файл будет выглядеть примерно так:
1.jpg

А вот пример зараженного файла:
2.jpg

Мы видим что домену yandex.ru присвоен левый ip адрес «255.255.255.255», и если мы введем в адресной строке браузера «yandex.ru» то мы попадем не на настоящий поисковик, а на страницу злоумышленника. После того как вы вернете файл в исходное состояние я рекомендую сделать его «только для чтения»(правой кнопкой нажимаем на файле и выбираем «свойства», ставим галочку "только чтение" и жмем применить)
3.jpg
Аватар пользователя
barbeeq
Чайник
 
Сообщений: 20
Зарегистрирован: 06 мар 2013, 22:01

Re: Вирус подмены страниц

Сообщение GhostDragon » 02 апр 2013, 09:52

Самое неприятное в данной ситуации это то, что каких то универсальных рекомендаций ппо защите от подобного рода заразы дать невозможно.
Это происходит потому что постоянно выходят новые версии и антивирусы в течении некоторого времени их тупо не обнаруживают, пока не появится очередное обновление, в котором признаки \той версии описаны. Более того не всегда механизм подмены страциц реализован через файл hosts.
Еще по поводу hosts есть особенности связанная с 64-х битной версией Windows 7.
Если совсем грубо, то файловый менеджер и редактор которыми мы пытаемся отредактировать его, они должны быть 64-х битными и запускаться от имени администратора, иначе папка c:\windows\system32\drivers\etc\ может и не отображаться.
Во всяком случае у меня 32-х битный Total Commander ее наглухо видеть отказывался.
GhostDragon
Новичок
 
Сообщений: 53
Зарегистрирован: 08 дек 2012, 11:03

Re: Вирус подмены страниц

Сообщение Вальд » 02 апр 2013, 13:26

GhostDragon

Ты совершенно прав. Например, пост товарища barbeeq, в целом абсолютно правильный, не учитывает, что целая группа троянов тупо делает либо свой вариант файла hosts скрытым, либо родной виндовский. Кроме того, после такого редактирования нужно перезагрузиться и еще раз проверить файл hosts. Потому, что если троян убит не до конца, инфа может измениться обратно.

А один раз у меня не было возможности (а жаль) забрать на изучение видоизмененный файл hosts. Суть - текст чистый, левых хостов не прописано. Но ни один браузер не давал выйти ни на один сайт. Причем причина - именно файл hosts была. Потому что я просто создал новый txt-шник в той же папке, скопипастил 127.0.0.1 localhost, дал имя hosts и снес расширение. Оригинальный файл перед этим, естественно, удалил. Заработало тут же, даже без перезагрузок и прочего. До сих пор не пойму, в чем было дело.

Поэтому для не очень уверенных в своих силах пользователей я советую восстанавливать файл hosts через AVZ. Он такие "глупости", как скрытые файлы игнорирует.

Способ же "защиты" установкой атрибута hidden - вовсе не панацея. Может помочь только от совсем уж "пионерских" вирусялов. К примеру, реестр "старше по званию " чем любые файлы конфигов. Поэтому содержимое файла hosts будет меняться в зависимости от записей реестра (не наоборот!)

Другой вариант - долбаные рекламные проги. Как правило - запихивают ява-скрипты в профили всех браузеров в ОС. А скрипты при каждом запуске любого браузера меняют реестр. Большая-то часть пользователей сидит в Инете под учетками админов! Так поступали недоброй памяти тулзы Ask.com, чтоб им всем хорошо стало!

Так что, соглашусь, что универсального способа защиты настроек сети тупо нет. Если только не создавать образ чем -то вроде acronis true image. :lol:
Так что соглашусь, что в случае
Аватар пользователя
Вальд
Продвинутый Юзер
 
Сообщений: 482
Зарегистрирован: 24 ноя 2012, 08:36
Откуда: Earth

Re: Вирус подмены страниц

Сообщение GhostDragon » 07 апр 2013, 10:14

Вальд
По поводу чистоты файла о котором ты говоришь, это еще тот вопрос...
Тут в одной из соседних веток обсуждались "двойные расширения", а во всяких конфигурационных файлах может встретиться аналогичные фокусы.
Как самый простой вариант, это оригинальный файл, потом 50 раз <cr><lf>, (типа нажимали Enter), а потом самое интересное и при этом при беглом просмотре файла этого момента вполне можно и не заметить.
Что касается борьбы с подобными (и рекламными) гадостями в реальности, то я не Акронисом пользуюсь, а для посещения потенциально опасных сайтов и тестирование потенциально опасного ПО у меня всегда под рукой готовая система установленная в VirtualBox-е. Делаю копию, занимаюсь непотребством, в случае надобности откатываюсь. Метод не идеальный, но ИМХО более удобный чем делать образы реальной системы.
GhostDragon
Новичок
 
Сообщений: 53
Зарегистрирован: 08 дек 2012, 11:03

Re: Вирус подмены страниц

Сообщение Gulia » 25 апр 2013, 08:38

Просматривая тему, вспомнила, что где-то год назад, или два, с подобным вирусом подменны страниц был нашумевший скандал, поскольку мошенники подменили начальную страницу популярной платёжной системы. Когда пользователи вводили свой логин и пароль, их данные перенаправлялись на настоящий сайт, а мошенники, пользуясь введенными данными, перекидывали со счетов этих пользователей их деньги. Уличить мошенников удалось на сразу, так что многим людям пришлось попрощаться со своими кровно заработанными. :(
Аватар пользователя
Gulia
Продвинутый Юзер
 
Сообщений: 458
Зарегистрирован: 04 май 2012, 09:21


Вернуться в Компьютерная безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron