Три способа обнаружения фарминг-атаки в Windows

    Фарминг-атаки, при которых пользователь скрытно перенаправляется на фишинговые сайты, стабильно популярны. Фарминг-атаки осуществляются вредоносными программами преимущественно семейств VKHost, QHost и DNSChanger. Основными целями являются социальные сети, системы онлайн-банкинга и всевозможные веб-службы. 3 следующих простых шага позволят вам оперативно выявить факт фарминг-атаки и нейтрализовать ее последствия.


    Шаг 1.Проверьте содержимое файла HOSTS
    По умолчанию, файл HOSTS лежит в каталоге %SYSTEM%\drivers\etc. Так выглядит файл HOSTS, модифицированный вредоносной программой Trojan.Win32.QHost.mcc для перенаправления пользователя на фишинговые сайты социальных сетей «В Контакте», «Одноклассники», почтовых сервисов «Яндекс.Почта», «Рамблер.Почта».



    Для восстановления работоспособности в файле HOSTS следует удалить все строчки, оставив только 127.0.0.1 localhost. Не забудьте сменить пароли ко всем веб-сервисам, которыми вы пользуетесь и фишинговые сайты которых были указаны в измененном файле HOSTS.

    Шаг 2. Проверьте местоположение файла HOSTS

    Изменение файла HOSTS широко используется вредоносными программами, однако такую модификацию легко обнаружить. В поисках путей повышения скрытности своих действий злоумышленники придумали изменять местоположение файла HOSTS. Путь к файлу HOSTS может быть изменен путем определения нового значения в ключе системного реестра DataBasePath ветки HKLM\System\ControlSet001\Services\tcpip\parameters (лучше посмотреть все ветки, начиная с CurrentControlSet и до ControlSet001/N). Так Trojan.BAT.Delude.e создает собственный файл HOSTS в каталоге %Windir%\Help и устанавливает путь к нему в системном реестре, а Trojan-Downloader.Win32.Esepor.z устанавливает путь %Windir%\NSDB к файлу HOSTS.



    Если в данном ключе прописан путь, отличный от %SYSTEM%\drivers\etc, то проверьте файл HOSTS по указанному там пути, чтобы узнать, к каким сайтам имеет смысл менять пароли. Затем поменяйте путь на стандартный, а зловредный файл HOSTS удалите.

    Шаг 3. Проверьте настройки DNS-серверов
    Еще один метод фарминга заключается в указании DNS-серверов злоумышленника. Например, вредоносная программа Trojan.Win32.DNSChanger.pwf заменяет указанные в операционной системе DNS-сервера на DNS-сервера злоумышленников путем изменений в системном реестре.



    Для обнаружения такого типа фарминг-атаки выполните команду IPconfig /all, которая выведет вам все настройки сетевых интерфейсов.
    Если обнаружите, что DNS-сервера подменены, то восстановить корректные значения можно в настройках свойств TCP/IP.

    Вместо заключения
    Примечательно, что жертвами фарминг-атак могут стать даже пользователи, на чьих компьютерах нет вредоносных программ.
    Как такое возможно и другие особенности фарминг-атак можно прочитать в 6-м выпуске AV-School Security Bulletin:
    — Какие методы фарминга существуют;
    — Какими вредоносными программами они осуществляются и каким образом;
    — Как обнаружить фарминг-атаки на ранней стадии с использованием плагинов к Firefox и AVZ;
    Бюллетень можно прочитать здесь, либо в PDF, или в XPS.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 19

      0
      Да уж, сменить IP адрес нужного сервера — самый простой способ перехватить пароли…
      И не обязательно снифить весь трафик…

      А еще можно эмулировать ответы DNS сервера… :-)
      • UFO just landed and posted this here
          0
          Это-то как раз элементарно, обычный HTTP прокси на 80-м порту :-)
            +2
            На «сменненом» IP достаточно поднять прокси, который бы выборочно логировал введённые жертвой данные, например логины с паролями, номера кредиток и т.п…
              0
              Можно и так. Но выгоднее продавать услугу перенаправления пользователей такого своеобразного «ботнета» на заданные фишинговые сервера. Сегодня оплатили одни — перенаправление на одних, завтра другие — значит на них будет осуществлять перенаправление. Бизнес, так сказать.
                0
                SEO ботнет?:)
          0
          Если не работать от админского аккаунта — то по идее эти действия трояны не смогут совершать (под обычным юзером)
            +1
            Если в сети есть ложный DHCP-сервер, то не имеет никакого значения под какой учетной записью работать. В общем-то, не требуется даже наличие вредоносной программы на этом компьютере. Действующий в сети DNSChanger может подбросить ложные данные о DNS-серверах и все:) Подробнее про это описано в разделе «Регистрация ложного DHCP-сервера» полной версии статьи: av-school.ru/article/a-107.html
              +1
              Ложные DHCP-сервера детектятся

              en.wikipedia.org/wiki/Rogue_DHCP

              Rogue DHCP servers can be detected using:

              * dhcp_probe (UNIX)
              * dhcploc.exe (Win32) in ResourceKit
              * Roadkil's DHCP Find (Win32)
              * DHCP Sentry (Win32) – DHCP Sentry tool
              * Scapy (Python)
              * Rogue detect (Perl)
            +1
            HKLM\System\ControlSet001\Services\tcpip\parameters
            Лучше не ControlSet001, а CurrentControlSet, потому что ещё неизвестно, первый ли профиль используется системой на данный момент.
              +1
              Хотя нет, лучше проверить сразу уж все профили ControlSetN.
                0
                Точно! Обновил текст. Спасибо!
            • UFO just landed and posted this here
              • UFO just landed and posted this here
                  0
                  Ха-ха-ха. Соглашусь на 100%. Меня буквально на днях спрашивали, неужели есть такие пользователи. Не просто есть, а много :) Впрочем, фарминг — атака скрытная, а поддельные странички настолько точно имитируют настоящие, что без спецсредств увидеть подмену имхо и не получится…
                  0
                  вот пару часов назад заметил в хроме:



                  конечно попасть на такую удочку сложно, т.к. хром отправляет на страницу поиска а не на свой «я счастливчик», да и хром пока не браузер «по умолчанию».
                    0
                    Самое прикольное, что в нашей полной статье есть головоломка, которая очень близко связана с вашим скриншотом, он мог бы быть отправной точкой для решения :)
                    0
                    В некоторых антивирусах уже добавлена проверка на изменение файла HOSTS. Думаю, что и вышеописанные проверки добавят. По крайней мере, стоит им задуматься о добавлении данной возможности, так как это их прерогатива. Спасибо за обзор.
                      0
                      ну незнаю… незнаюю…

                      пойду-ка обновлю свою кубунту :)

                      Only users with full accounts can post comments. Log in, please.