Мне зачастую приходится чинить домашние компьютеры знакомым и друзьям. Благо есть опыт и кое-какие навыки. От обычных вирусов спасают антивирусы. Но когда только-только появился Trojan.Winlock, это было большой проблемой, потому что модификаций у него море и ни один антивирус не справлялся оперативно с таким потоком. Пришлось учиться делать очистку вручную. Чтобы с этим разобраться в первый раз, было потрачено достаточно времени, часов 5, но теперь вся процедура занимает от силы 10 минут.
Но недавно я столкнулся с чем-то необычным, что было очень похоже на очередное Trojan.Winlock вымогательство. Для пользователя это выглядело так, что все сайты открываются нормально, но вот с сайтом «Вконтакте» прямо беда — вместо обычного входа требуют прислать денег. Это явно фишинговая атака!
Откуда же идет атака и почему ни антивирусы, ни ручная чистка не спасают?
Компьютер при тщательнейшей проверке оказался абсолютно чистым.
Исходные данные. На домашнем компьютере стоит Windows 7, где по умолчанию включен протокол IPv6. А��ака началась внезапно, после перезагрузки компьютера. Никакие дополнительные программы не устанавливались, флешки не вставлялись.
Было установлено, что фишинговый сайт активизируется путем подмены IP-адреса настоящего Вконтакте, при этом локальный файл hosts остается чистым и все системные файлы не заражены. Путем кропотливого анализа в локальной сети провайдера был найден завирусованный DHCP-сервер, который по запросу выдает левые адреса DNS-сервера, обращения к которым приводят на фишинговую страницу. DHCP-сервер, как Вы уже, наверное, догадались — построен на протоколе IPv6, который никак не контролируется провайдером. Провайдер работает на IPv4. Что в канале происходит c IPv6 ему неведомо.
В итоге помогло отключение протокола IPv6 в настройках Windows 7.
Но самое интересное — это то, что невозможно очистить компьютер от подобных атак с помощью антивирусных средств. Они, после тщательного сканирования файлов, показывают — ваш компьютер не заражен. И это действительно так. Но зайти на настоящий Вконтакте невозможно.
Но недавно я столкнулся с чем-то необычным, что было очень похоже на очередное Trojan.Winlock вымогательство. Для пользователя это выглядело так, что все сайты открываются нормально, но вот с сайтом «Вконтакте» прямо беда — вместо обычного входа требуют прислать денег. Это явно фишинговая атака!
Откуда же идет атака и почему ни антивирусы, ни ручная чистка не спасают?
Компьютер при тщательнейшей проверке оказался абсолютно чистым.
Исходные данные. На домашнем компьютере стоит Windows 7, где по умолчанию включен протокол IPv6. А��ака началась внезапно, после перезагрузки компьютера. Никакие дополнительные программы не устанавливались, флешки не вставлялись.
Было установлено, что фишинговый сайт активизируется путем подмены IP-адреса настоящего Вконтакте, при этом локальный файл hosts остается чистым и все системные файлы не заражены. Путем кропотливого анализа в локальной сети провайдера был найден завирусованный DHCP-сервер, который по запросу выдает левые адреса DNS-сервера, обращения к которым приводят на фишинговую страницу. DHCP-сервер, как Вы уже, наверное, догадались — построен на протоколе IPv6, который никак не контролируется провайдером. Провайдер работает на IPv4. Что в канале происходит c IPv6 ему неведомо.
В итоге помогло отключение протокола IPv6 в настройках Windows 7.
Но самое интересное — это то, что невозможно очистить компьютер от подобных атак с помощью антивирусных средств. Они, после тщательного сканирования файлов, показывают — ваш компьютер не заражен. И это действительно так. Но зайти на настоящий Вконтакте невозможно.
