Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 126
Trojan.Winlock наша беда, нигде он так не популярен на в странах бывшего СНГ.
СНГ, вроде, еще не бывшее )
Winlock в большинстве случаев не детектится антивирусами, т.к. не имеет вирусных механизмов в традиционном смысле. Защититься от такой напасти можно запретив несанкционированное создание исполняемых файлов.
Социальный троян я бы сказал. Ведь пользователь заражаясь им в 90% случаев сам д… к, так как подписал лицензионное соглашение на установку этого «программного обеспечения», а в соответствии с законодательством — антивирусные компании не имеют права его удалять.
«неожиданно, но ожидаемо»
интересно как отреагируют провайдеры и какие провайдеры уже защитили пользователей от этого
интересно как отреагируют провайдеры и какие провайдеры уже защитили пользователей от этого
Вообще, это называется фарминг-атака. Про использованием ложного DCHP-сервера здесь расписано подробно: av-school.ru/article/a-107.html
Я имел ввиду использование ipv6 для этих целей и собственно что сделали и будут делать провайдеры с этим ipv6 трафиком
Провайдеры должны пользовать VLANы
Ужас-ужас. Используйте нормальные DNS серверы. Вот выдержка из инструкции:
The Google Public DNS IP addresses (IPv4) are as follows:
8.8.8.8
8.8.4.4
The Google Public DNS IPv6 addresses are as follows:
2001:4860:4860::8888
2001:4860:4860::8844
code.google.com/speed/public-dns/docs/using.html
The Google Public DNS IP addresses (IPv4) are as follows:
8.8.8.8
8.8.4.4
The Google Public DNS IPv6 addresses are as follows:
2001:4860:4860::8888
2001:4860:4860::8844
code.google.com/speed/public-dns/docs/using.html
Не панацея. Если фальшивый DHCP в провайдерской сети пришлет вам не только подмененный DNS, но еще и подмененный Gateway, то уже не поможет ни разу.
До сих пор существуют провайдеры блокирующие и перенаправляющие исходящий dns трафик на свои dns сервера
если машина в домене, то днс сервер должен резолвить местные сервера, о которых гугл естественно не знает :(
Предположу что такой способ работает только в случае если машине напрямую подключена к сети.
Если же используется роутер, то я ещё не слышал о роутерах с нормальной wan поддержкой ipv6.
Если же используется роутер, то я ещё не слышал о роутерах с нормальной wan поддержкой ipv6.
Практически классический Man In The Middle.
Но зайти на настоящий Вконтакте невозможно.
Хм, а если использовать реальный IP-адрес ресурса?
Пробовал писать в drivers/etc/hosts реальный адрес vkontakte — это не помогает. Получается, что у протокола IPv6 приоритет перед IPv4.
А зайти через IP-адрес в строке браузера не пробовал. У меня к этому какое-то внутреннее предубеждение, возникшее после того, как я научился создавать на одном IP несколько разных виртуальных сайтов. В этом случае будет ошибка хостера, он же не знает какой из виртуальных сайтов следует грузить. Не думаю, конечно, что Вконтакте хостится одновременно еще с кем-то, но как быть с другими подобными сайтами?
А зайти через IP-адрес в строке браузера не пробовал. У меня к этому какое-то внутреннее предубеждение, возникшее после того, как я научился создавать на одном IP несколько разных виртуальных сайтов. В этом случае будет ошибка хостера, он же не знает какой из виртуальных сайтов следует грузить. Не думаю, конечно, что Вконтакте хостится одновременно еще с кем-то, но как быть с другими подобными сайтами?
На хабре определенно был топик с описанием этой атаки (тогда еще потенциальной). Но найти его сейчас почему-то не удается.
Интересно было бы отловить вживую вирус, который приводит к этой атаке. Скорее всего он написан под Linux. Потому что только там легко манипулировать с DHCP/DNS серверами, они же все в исходниках.
Это может быть как и специально написанная и запускаемая злоумышленником программа, так и функция какого-то ботнета, и пользователь может не знать что является DHCP сервером. Если есть возможность отловите DHCP сервер и сообщите провайдеру об этой проблеме. Хотя как показывает практика это неблагодарное дело в нашем обществе…
Врядли это под Linux. То есть написать кроссплатформенно DHCP на перловке с питонами ваще ни разу не проблема, но открыть 67 порт без прав рута кагбе невозможно. А его получать… Ну, вобщем, проще заплатить пять баксов за виндовый ботнет.
Да, интересный случай. Однако «до кучи» спрошу, а запись о местоположении hosts в реестре проверили?
Совсем недавно была такая же проблема на компьютере директора, причем деньги вымогались как в вконтакте так и в одноклассниках. Сразу подумал о файле hosts открыл его в FAR'е, посмотрел, вроде пусто, на первый взгляд, а потом смотрю файл содержит 24 тысячи строк, понятное дело замочил файл и создал новый с правильной, единственной записью (времени разбираться и листать весь этот файл не было, хотя надо было скопировать). После этого все вылечилось.
У вашего провайдера незавиланеный порт? Тогда мы идем к вам!
Так вы сами виноваты что подключаете компьютер в общую локальную сеть. Винда изначально делалась для корпораций и потому «доверяет», если можно так выразиться, собратьям по сети. даже в ИЕ существует отдельная зона — для интранета, с повышенным уровнем разрешений.
Хотя в MacOS и Linux (Убунту по крайней мере), тоже по дефолту включен режим «доверять локальному неподписанному DHCP-серверу». Вот она, хваленая защищенность линукса, на деле фикция.
Хотя в MacOS и Linux (Убунту по крайней мере), тоже по дефолту включен режим «доверять локальному неподписанному DHCP-серверу». Вот она, хваленая защищенность линукса, на деле фикция.
А причем там IPv6? И какой такой DHCP, который на нем пострен?
Лишние DHCP-сервера, которые отдают правильные адреса, маску сети, шлюз и неправильный DNS — не новость как минимум. Обнаружить их да, весьма сложно, ибо внешне у клиента ничего не меняется. Решение — dhcp shooping, или acl на портах доступа.
Может быть, у соседа из-за кривости рук подключение к Интернету расшарилось само в себя, и на его компьютере поднялся Router Advertisement с анонсом адресов из его 6to4 блока. Но вряд ли там идет какой-то mitm, обычно такая ситуация может существовать достаточно долго без особого вреда.
Лишние DHCP-сервера, которые отдают правильные адреса, маску сети, шлюз и неправильный DNS — не новость как минимум. Обнаружить их да, весьма сложно, ибо внешне у клиента ничего не меняется. Решение — dhcp shooping, или acl на портах доступа.
Может быть, у соседа из-за кривости рук подключение к Интернету расшарилось само в себя, и на его компьютере поднялся Router Advertisement с анонсом адресов из его 6to4 блока. Но вряд ли там идет какой-то mitm, обычно такая ситуация может существовать достаточно долго без особого вреда.
Если бы сотовые компании не продавали короткие номера всем подряд, «развод» заметно усложнился бы.
продавать продавали — если б дрючили как следует.
Так вон, Билайн аж на 36 000 оштрафовал ФАС.
Билайн оштрафовал ФАС? :D
Может быть, всё-таки ФАС оштрафовала Билайн?
Может быть, всё-таки ФАС оштрафовала Билайн?
На самом деле фраза построена правильно, только Билайн и ФАС не склоняются, поэтому получается парадокс.
Фраза не построена правильно. ФАС — это служба, а служба — она женского рода.
виноват, не туда habrahabr.ru/blogs/microsoft/131371/#comments
Может в вашей локальной сети не 1 dhcp сервер? Тогда тот, который раздал вам настройки первым (а это может быть dhcp злоумышленника) — от того вы и примите настройки.
есть 2 варианта для решения проблемы: Линукс и Dr. Web. Сам еще с полгода назад Dr. Webом лечил свой ХР от этого вируса. По сабжу, вирус действительно хитрый, даже через Safe Mode не было видно замены hosts.
Ой ну точно, Dr. Web таки пролезет по запутанным каналам с витухой до провайдерского сервера с DHCP и сразу его вылечит, что ж мы сразу не догадались все? Да и линуксом такую фишку провернуть как два пальца.
А подмены на локальном компе и не было. Никакой DrWEB не отследит, каким DHCP-сервером вашей машине выданы настройки протокола. И насколько правильные.
Интересно, если я отправлю этот смс, смогу ли я вернуться к одноклассникам и к вконтакту?
Если нет, то мошенников нужно привлечь еще и за жестокое обращение с домашними животными.
Мошенники теряют деньги на том, что при отправке смс не лечат компьютер.
Как-то у моей подруги спросили про WinLock: «Я смс отправила, а почему ничего не происходит?»
Она все объяснила и комп вылечила. И теперь, когда та, что отправила смс, снова схватит WinLock, то она сразу позвонит моей подруге и, естественно, ничего не отправит.
Но, если бы смс сработала, она бы просто продолжила сидеть в контактике и в следующий раз её первым действием была бы отправка смс.
Как-то у моей подруги спросили про WinLock: «Я смс отправила, а почему ничего не происходит?»
Она все объяснила и комп вылечила. И теперь, когда та, что отправила смс, снова схватит WinLock, то она сразу позвонит моей подруге и, естественно, ничего не отправит.
Но, если бы смс сработала, она бы просто продолжила сидеть в контактике и в следующий раз её первым действием была бы отправка смс.
Обязательный HTTPS для крупных ресурсов поможет?
Как он тут поможет?
А если обязательный и единственный вариант? Т.е. только по https. У меня ощущение что мне не удасться получить сертификат для чужого домена, не?
Я думаю, что сообщение на странице якобы вконтакта не было врезано отдельным скриптом, вся эта страница, скорей всего — поддельная. Так что ну соединитесь вы с сервером злоумышленника без mitm угроз — вам от этого легче станет?
Если пользователь знает что контакт _всегда_ работает по защищенному соединению — должно помочь.
Все это замечательно, применение https могло бы (в теории) решить целый ряд проблем безопасности, но на практике есть следующие вопросы:
1) Как вы думаете, какой процент пользователей знают что такое«защищенное соединение» https и кого конкретно и от чего конкретно и как конкретно оно «защищает»?
2) Какой процент пользователей знает какую роль играют сертификаты в установлении https-соединения? И какой процент пользователей при этом обращают внимания на валидность-невалидность проверки сертификатов посещаемых сайтов?
3) Какой процент пользователей при этом знают какие сайты могут работать по https, какие не работают, а какие всегда работают и должны работать только по https?
4) Какой процент пользователей обратит внимание на то, работает ли данный сайт в данный момент по https или по http?
5) И наконец, последний вопрос. Как вы думаете, если на главной странице Вконтакта сам Дуров лично напишет большими красными буквами «Внимание, Вконтакт работает всегда только по https», какой процент пользователей поймет что это вообще значит и что из этого следует?
1) Как вы думаете, какой процент пользователей знают что такое
2) Какой процент пользователей знает какую роль играют сертификаты в установлении https-соединения? И какой процент пользователей при этом обращают внимания на валидность-невалидность проверки сертификатов посещаемых сайтов?
3) Какой процент пользователей при этом знают какие сайты могут работать по https, какие не работают, а какие всегда работают и должны работать только по https?
4) Какой процент пользователей обратит внимание на то, работает ли данный сайт в данный момент по https или по http?
5) И наконец, последний вопрос. Как вы думаете, если на главной странице Вконтакта сам Дуров лично напишет большими красными буквами «Внимание, Вконтакт работает всегда только по https», какой процент пользователей поймет что это вообще значит и что из этого следует?
Согласен со всем перечисленным. Я исходный коммент написал больше для этой дискуссии. чем как вариант решения проблемы.
поэтому есть class 3 сертификаты, которые в браузерах подсвечиваются зелененьким
Миллионы пользователей на ваш коммент просто дружным хором ответят: «Да оно, наверное, просто так, ДЛЯ КРАСОТЫ, зелененьким-то подсвечивается». Или вы всерьез верите, что много людей, кроме вас, знает про какие-то там непонятные class 3 сертификаты? Это и называется человеческий фактор в безопасности.
P.S.: Если сомневаетесь в моих словах насчет человеческого фактора, попробуйте провести «тотальное внедрение https» на каком-нибудь веб-сервисе хотя бы с десятком тысяч пользователей… Интересно, получится ли это у вас? ;) А потом вы скажете, реально ли это сделать «в масштабах Вконтакта».
P.S.: Если сомневаетесь в моих словах насчет человеческого фактора, попробуйте провести «тотальное внедрение https» на каком-нибудь веб-сервисе хотя бы с десятком тысяч пользователей… Интересно, получится ли это у вас? ;) А потом вы скажете, реально ли это сделать «в масштабах Вконтакта».
Да их столько самописных или не подписанных сертификатов. Даже и не помню когда в последний раз браузер пустил сразу, без предупреждения.
Даже и гугл и то, в течении нескольких месяцев не мог заменить истекщий сертификат.
И при такой привычке, нажимать несколько кнопок, чтобы довериться сертификату, юзеры просто не обратят на это внимание.
И вопрос же не в воровстве данных, а в том, что вас не пускают на ресурс.
Даже и гугл и то, в течении нескольких месяцев не мог заменить истекщий сертификат.
И при такой привычке, нажимать несколько кнопок, чтобы довериться сертификату, юзеры просто не обратят на это внимание.
И вопрос же не в воровстве данных, а в том, что вас не пускают на ресурс.
Т.е. вы предлагайте вконтакту запретить соединения по http?
Это я к тому, что в вопросах безопасности человеческий фактор — почти всегда ключевой фактор. Особенно когда это не просто «человеческий фактор», а «массовый человеческий фактор».
Opera mini не может в HTTPS, а это огромная часть vkontakte — www.opera.com/smw/2011/09/
в домене можно посмотреть что там в https внешне незаметно для юзера (подменой сертификатов)
DHCP или просто route announce от «возомнившего себя маршрутизатором» компьютера?
Винда (7) культурно спрашивает, к какой сети ее подключили — к домашней, рабочей, или публичной. Кто-то, видимо, решил не читать описания каждой из них, и выбрал домашней :)
Sounds like a plan for me
Пока создателям этой штуки не будет светить реальный срок, это будет продолжаться.
Продолжаться это будет пока хомяки будут смс слать. Угроза реального срока тут врятли кого остановит
Пост-детектор неграмотных юзеров. Половина комментов написано какими-то школьниками. Ещё раз: скорее всего вируса никакого нет, просто провайдер не позаботился о том, чтобы распределять пользователей в отдельные VLAN дабы небыло возможности осуществлять подобные вещи. У нормального провайдера не должно быть возможности подмены/добавления DHCP сервера из пользовательской сети.
Так же есть вариант №2: вирус есть, он и является реализацией того самого DHCP на локальной машине, который ей же и выдаёт ipv6 адрес и подменный днс (который кстати может быть прямо там же реализован).
Так же есть вариант №2: вирус есть, он и является реализацией того самого DHCP на локальной машине, который ей же и выдаёт ipv6 адрес и подменный днс (который кстати может быть прямо там же реализован).
Еще есть вариант №3 — DHCP-сервер провайдера скомпрометирован и контролируется злоумышленниками.
З.Ы. Про пост-детектор верно сказано.
З.Ы. Про пост-детектор верно сказано.
№4 Скомпрометирована беспроводная (или не очень) точка доступа.
Там и изобретать ничего не надо, всё готово к рыбалке.
На Хабре, к стати, кто-то, не так давно, помнится, поминал это дело, но был не понят местными кул-хацкерами. И слава Богу! Масштабы распространения уязвимости огромны, а для её эксплуатации много ума не надо.
Там и изобретать ничего не надо, всё готово к рыбалке.
На Хабре, к стати, кто-то, не так давно, помнится, поминал это дело, но был не понят местными кул-хацкерами. И слава Богу! Масштабы распространения уязвимости огромны, а для её эксплуатации много ума не надо.
Еще есть одноранговые сети в фирмах и на предприятиях
Что-то я не понял прикола с одноранговыми сетями. Одноранговой сетью можно назвать небольшую сетку предприятия до 30 машин, много там не на фармишь. Большие сети так же имеют виланы и сисадминов, которые следят за такими вещами.
Будете смеяться, но вот прямо сейчас, корпоративная сеть, международной фармацевтической корпорации, причём с очень серьёзным «RD-как основа бизнеса», и «повышенным уровнем безопасности».
Всё свалено в кучу, даже контроллер домена ОДИН на весь мир.
Всё свалено в кучу, даже контроллер домена ОДИН на весь мир.
Вы уверены что не разглашаете никакой тайны этим сообщением? :) Но к сожалению такое тоже часто встречаю.
Уверен, ибо даже если бы разглашал, их юристы не далеко ушли от их админов :-)
Мы живём в век тотальной безграмотности, и с одной стороны, это не так уж и плохо, а с другой не хотелось бы оказаться на операционном столе у столь же «компетентных» специалистов медиков, того и гляди круг кровообращения «оптимизируют».
Мы живём в век тотальной безграмотности, и с одной стороны, это не так уж и плохо, а с другой не хотелось бы оказаться на операционном столе у столь же «компетентных» специалистов медиков, того и гляди круг кровообращения «оптимизируют».
Я вот не помню — есть ли в домашних версиях винды встроенная dhcp-служба? Тогда можно было бы ее активировать и самоудалиться, никакой антивирус ничего не найдет.
Антивирус может заметить что сменилась arp запись шлюза, и запаниковать оповестить пользователя, может заметить что сменился dhcp сервер и опять же оповестить.
Противодействовать не сможет конечно, но атаку остановить — легко. Outpost старенький не раз спасал, когда провайдера колбасило лет 5 назад.
Только вот на все вопросы в поддержку первые пару месяцев провайдер рекомендовал мне выключить антивирус раз он так странно себя ведет. А когда из-за вирусов легла вся сеть — зашевелились.
Противодействовать не сможет конечно, но атаку остановить — легко. Outpost старенький не раз спасал, когда провайдера колбасило лет 5 назад.
Только вот на все вопросы в поддержку первые пару месяцев провайдер рекомендовал мне выключить антивирус раз он так странно себя ведет. А когда из-за вирусов легла вся сеть — зашевелились.
А что, теперь антивирус это истина в последней инстанции? Никто не пробовал найти тело вируса (хотя бы по дате последних изменений) и вручную чистить реестр? Конечно нужен багаж знаний поболее, чем простое умение запуска антивируса.
Судя по копирайту "© 2006-2009" на фишинговой странице, она уже как минимум 2 года приносит доходы своему создателю.
У вируса не всегда бывает тело, к которому применимо понятие даты последних изменений.
Мне вот давеча boot-rootkit попался, фишерский, причём самое занятное, что приходил он со скомпрометированных скидочных сервисов, с жёлтым кодом. Ну вы подумайте, какой шикарный таргетинг жертв, ведь ЦУ этих сайтов платят электронными деньгами, проверяют счета итд\итп…
У меня даже возникли смутные сомнения относительно того, был ли сайт скомпрометирован или это задумка такая ;-)
Мне вот давеча boot-rootkit попался, фишерский, причём самое занятное, что приходил он со скомпрометированных скидочных сервисов, с жёлтым кодом. Ну вы подумайте, какой шикарный таргетинг жертв, ведь ЦУ этих сайтов платят электронными деньгами, проверяют счета итд\итп…
У меня даже возникли смутные сомнения относительно того, был ли сайт скомпрометирован или это задумка такая ;-)
Красивая атака, ничего не скажешь.
Вирус, поднявший ложный dhcp мог бы еще включаться-выключаться в определенные промежутки времени. К примеру, стартует в 8 вечера или по выходным, когда у провайдера большинство квалифицированных админов по домам сидят и в офисе лишь саппорт, который с гораздо меньшей вероятностью смог бы проанализировать ситуацию.
Можно еще анализировать большая ли это сетка и в зависимости от этого изменять свой интервал активности.
Много интересных вещей можно придумать.
Вирус, поднявший ложный dhcp мог бы еще включаться-выключаться в определенные промежутки времени. К примеру, стартует в 8 вечера или по выходным, когда у провайдера большинство квалифицированных админов по домам сидят и в офисе лишь саппорт, который с гораздо меньшей вероятностью смог бы проанализировать ситуацию.
Можно еще анализировать большая ли это сетка и в зависимости от этого изменять свой интервал активности.
Много интересных вещей можно придумать.
Может это админ провайдера придумал? А почему бы и нет? Поднял левый DHCP сбоку, поотключал лишнее на провайдерском железе, настриг бабла, DHCP вырубил.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Когда антивирус бессилен