Порой антивирусы принимают совершенно безобидный сайт, программу или запущенный на компьютере процесс за угрозу системе и начинают сигнализировать об этом.
Вы доверяете сайтам, которые посещаете регулярно? Разработчики вредоносного ПО очень на это рассчитывают, поскольку, когда в браузере на знакомой странице возникает предупреждение, пользователь почти всегда не верит ему и игнорирует сообщение. То, что такое доверие опасно, доказывают нападения на уважаемые сайты. Одно из наиболее громких произошло весной этого года: около 500 000 популярных веб-страниц стали жертвами атаки, в ходе которой в них был внедрен вредоносный код.
В остальных случаях разработчики вирусов тоже делают ставку на отсутствие подозрений у пользователя. В настоящее время кроме неустаревающего фишинга по электронной почте хакеры концентрируют свое внимание, в частности, на двух быстро растущих рынках — социальных сетях и приложениях для смартфонов. Большинство пользователей все еще не верят, что записи их друзей в Facebook могут представлять опасность. Однако ежедневно возникают все новые атаки, нацеленные на личные данные пользователей, а в сетевых магазинах App Store и особенно Android Market стремительно растет число приложений, отслеживающих данные владельцев смартфонов или занимающихся вымогательством.
С другой стороны, браузер и операционная система постоянно пугают пользователя как раз безвредными предупреждениями, на основании которых некоторые могут сделать предположение о заражении вирусом. Сюда относятся и сообщения о заблокированных сайтах, и ложная тревога антивирусов, и системные уведомления Windows. Сложно определить, где вас действительно поджидает вирус, а где нет. Однако тот, кто ищет в правильных местах и с помощью подходящих утилит, быстро найдет решение.
Как маскируется вредоносное ПО
Взломанный веб-сайты
Для распространения вредоносного ПО злоумышленники используют сайты с очень хорошей репутацией. В качестве примера можно привести уже упомянутую атаку на почти полмиллиона веб-страниц, известную под названием LizaMoon. Хакеры осуществили массовое внедрение на сайты SQL-кода, который автоматически перенаправляет пользователя на другую страницу, содержащую вредоносную программу. Большинство этих ссылок было связано с доменом lizamoon.com — отсюда и имя. В июне прошлого года подобной атаке подверглись около 114 000 сайтов. Так же, как и тогда, атака LizaMoon была нацелена на ресурсы, использующие серверную платформу IIS и технологию создания веб-контента ASP.net от компании Microsoft. При этом пакеты вредоносного ПО на сайтах, являющихся целью переадресации, целенаправленно ищут уязвимости в браузере, плагинах и самой Windows. Часто такими зловредными программами являются трояны, выслеживающие данные, или же ложные антивирусы.
Даже когда браузер или антивирус сообщают о вирусе на веб-странице, пользователь не рассчитывает столкнуться с атакой на знакомом сайте. Нападение можно и не заметить, поскольку оно проходит в фоновом режиме. Поэтому необходимо постоянно обновлять антивирус, браузер и его плагины, чтобы по максимуму ликвидировать уязвимости. С помощью расширения «NoScript» для Mozilla Firefox вы к тому же сможете регулировать выполнение активных элементов и блокировать встроенные скрипты. Но иногда проблему представляет не сам сайт, а контент, вставленный на страницу с помощью технологии iFrame. Поэтому после установки NoScript через иконку скрипта рядом со строкой, отображающей URL, выберите «Настройки | Встроенные объекты» и отметьте флажком функцию «Запретить <IFRAME>».
Фальшивые предупреждения о вирусах
Нужно ли принимать всерьез предупреждения от Windows Stability Center? Ни в коем случае, поскольку эта утилита является ложным антивирусом (Rogueware), который с помощью фальшивых оповещений хочет выманить у вас деньги. Часто ее источником являются веб-страницы, которые сначала генерируют в браузере предупреждение о вирусе с помощью сценария JavaScript. Если при этом нажать на кнопку «Удалить вирус» или другие подобные, начнется загрузка поддельного и часто сложно удаляемого антивируса, например Windows Stability Center. Он также показывает фальшивые результаты сканирования и предлагает пользователю решение проблем — платную, но при этом абсолютно бесполезную полную версию программы. Не покупайте эту утилиту! На первый взгляд, предупреждения выглядят устрашающе, но при детальном рассмотрении вас должно смутить такое непривычно огромное количество найденных вирусов. В принципе, стоит устанавливать только достойные доверия, знакомые антивирусные программы. При появлении такого ложного оповещения тщательно проверьте свой компьютер. Бесплатная утилита Remove Fake Antivirus найдут и удалят наиболее распространенные лжеантивирусы.
Так выглядит фальшиковое окно с предупреждением
Пользователи рунета часто сталкиваются с сообщениями об обновлении установленного ПО, таких как браузер или медиа плеер. Не устанвливайте неизвестные версии знакомых программ (актуально: Opera 12, на момент написания этой статьи такой версии нет на сайте разработчика opera.com). Не обновляйте свой flash плеер на неизвестных ресурсах. Google Chrome имеет встроенный flash плеер и обнолять его нет необходимости, если вы пользуетесь другим браузером, то скачайте его с сайта Adobe и он будет обновляться по требованию.
Попытки шантажа
Появившиеся в этом году мнимые предупреждения могут гласить, что на компьютере пользователя обнаружена, например, порнография. За этим оповещением стоит троян, блокирующий все доступы к системе. Разблокировка компьютера происходит лишь после выплаты некоторой суммы путем отправки SMS. Успех подобной программы для шантажа зависит от того, поверит ли пользователь этой уловке. Несмотря на угрозы и заверения в неподдающейся взлому системе шифрования, которой были заблокированы пользовательские данные и вся система, проблему можно решить без выплат. На мошенничество указывают необходимость совершить непривычные действия (например, активация Windows исключительно по номеру телефона за границей), орфографические ошибки, почтовые адреса, ссылающиеся на неофициальные домены, и анонимный порядок осуществления платежей. Но даже если вы не стали платить, вам следует «продезинфицировать» компьютер. Поскольку доступ к Windows практически полностью заблокирован, на помощь придут Live-CD антивирусных программ, благодаря которым можно осуществить перезапуск и проверку системы (на сайте Dr.Web и др). Можно попытаться удалить неизвестные exe’шники вручную, загрузив ERD Commander, для каждой версии Windows и ее разрядности существует свой дистрибутив. Если и это не поможет, остается только переустановка Windows. Пользователи рунета называют этот вирус sms-баннер. В поисковиках можно найти код для разблокировки, набрав указанный в баннере номер телефона.
Соблазнительные ссылки в социальных сетях
С помощью популярных соцсетей мошеннический контент распространяется со стремительной скоростью. Это происходит потому, что многие пользователи легкомысленно переходят по ссылкам, получаемым от друзей. Безвредным вариантом так называемой аферы в соцсетях являются видеоролики, обещающие сенсационные кадры из жизни звезд, сцены насилия и секса. После клика по такой ссылке, содержимое публикуется в профиле пользователя посредством скрытой кнопки «Мне нравится». За всем этим часто стоят рекламные фирмы, получающие прибыль от каждого клика. Куда опаснее приложения,обещающие, например, предоставление информации о посетителях вашей страницы, что, например, на Facebook в принципе невозможно сделать. Такие приложения без разрешения перенаправляют данные пользователя дальше или даже крадут пароли и заражают компьютеры вредоносным ПО.
Подозрительные видеоролики можно быстро вычислить по странным ссылкам — например, http://chalaepic.zapto.org. В случае с приложениями нужно обратить внимание на то, какие именно данные они используют. Уже установленные программы можно удалить через меню «Аккаунт | Настройки конфиденциальности | Приложения и веб-сайты | Редактировать Ваши настройки». Для обеспечения безопасности после каждой подобной атаки следует менять пароль. Это можно сделать через меню «Аккаунт | Настройки аккаунта | Пароль | Изменить».
Мошеннические приложения для смартфонов
Продукция в магазинах ПО для систем iOS и Android не всегда безобидна. В марте вредоносной программой под названием DroidDream хакеры заразили более 50 приложений на базе Android, в том числе Photo Editor, Super Guitar Solo и Best Password Safe. По данным компании Panda, за четыре дня эти приложения были скачаны 50 000 раз. После установки такие вирусы могут считывать данные, автоматически посылать дорогие SMS или разблокировать права администратора и благодаря этому загружать и другие вредоносные программы.
Антивирусное ПО для смартфонов препятствует таким атакам. Изящное и эффективное решение — AVG AntiVirus Free (бесплатно в Android Market). Кроме того, после установки приложения проверяйте в его сведениях, осуществляется ли доступ к вашим сообщениям или журналу браузера — такие действия типичны для мошенников и шпионов. В случае с бесплатными приложениями может случиться, что при клике по рекламному баннеру вас незаметно подпишут на абонентскую плату, которая будет автоматически сниматься со счета мобильного телефона. Если вы заметили необычные списания со своего счета, опротестуйте их у своего оператора. Однако доказать, что подписка была выполнена без вашего желания, будет очень сложно.
ПРОФЕССИОНАЛЬНЫЙ ФИШИНГ. Распространяемые по электронной почте ссылки на фишинговые сайты снова переживает подъем: только в период с января по февраль число таких писем, согласно данным компании Symantec, выросло на 50%. В них содержатся ссылки на профессионально модифицированные банковские страницы, требующие указать ваши данные доступа.
Всегда вводите веб-адреса банков, магазинов и служб оплаты только вручную или же открывайте их через закладки. И помните о том, что банки никогда не рассылают таких писем. Следите за тем, чтобы банки и службы оплаты использовали только соединения HTTPS — лишь в таком случае они безопасны. Непривычные домены, такие как paypaldeb.com, должны вызывать подозрения. Часто на этих сайтах нажатия на другие ссылки или попытки перехода на подстраницы не дают никакого результата. Если при вводе данных доступа вы получили сообщение об ошибке или запрос о повторе попытки, также существует риск мошенничества. Таким образом злоумышленники пытаются выманить и данные другого счета.
Безвредные сообщения
АГРЕССИВНЫЕ АНТИВИРУСЫ. Если предупреждение исходит от собственного антивируса, его обычно воспринимают всерьез. Но иногда это лишь ложная тревога при установке или выполнении приложения. Хотя число ложных срабатываний в начале этого года, по данным AV-Test, по сравнению с четвертым кварталом 2010 года пошло на убыль, антивирусы все еще «ворчат» по поводу некоторых известных приложений. Это касается даже таких безопасных программ, как OpenOffice или Notepad++. Часто причиной является слишком жесткая эвристика, которая классифицирует определенные части кода или действия файла в добропорядочных программах как подозрительные. Всплывает ли при этом оповещение, зависит от предельного значения — при его превышении антивирус бьет тревогу. Если заблокированная программа вам хорошо известна, с помощью утилиты FileAlyzer сравните контрольную сумму установочного файла со значением, которое часто указывает разработчик на своей странице для загрузки. Чаще всего эта сумма представлена для больших файлов, например установщика (Installer) пакета OpenOffice. Если же на сайте ее нет, в целях безопасности снова загрузите программу из надежного источника. В том случае, если заблокированный файл вам неизвестен, поместите его на карантин и запустите повторную проверку. Закачайте файл на антивирусный сайт www.virustotal.com с помощью клиента VirusTotal Uploader (есть на DVD). Анализ проводится сразу 40 движками. Если лишь пара из них забьет тревогу, перед вами не вредоносное ПО.
ЗАБЛОКИРОВАННЫЕ ИНТЕРНЕТ-ПРЕДЛОЖЕНИЯ
Работа фишингового фильтра браузера основывается на черных списках, содержащих адреса сайтов, с которых распространяется вредоносный код. Такие списки большей частью надежны и блокируют опасные страницы, однако не всегда содержат самую свежую информацию. В Сети постоянно появляются новые вредоносные сайты, темпы роста которых за последний год увеличились вдвое и достигли примерно 3300 в день. Иногда, однако, заражен не сам сайт, а только один из его рекламных баннеров. И хотя такой баннер обычно быстро убирают, после попадания сайта в черный список браузер будет блокировать его в течение многих дней.
Проверьте заблокированный URL с помощью сканера веб-страниц от AVG (http://avgthreatlabs.com/sitereports), анализирующего адреса вместе с субдоменами в реальном времени. От зараженных баннеров вас также защитит расширение Adblock для браузеров Firefox и Chrome. Расширение с аналогичным названием существует и для браузера Opera, либо воспользуйтесь программой AdMuncher.
ФАЛЬШИВЫЕ СЕРТИФИКАТЫ. Сайты, авторизация на которых шифруется по протоколу SSL, нуждаются в сертификатах для подтверждения браузером их подлинности и их отличия от незаслуживающих доверия или опасных страниц. Если в браузере эти сертификаты не сохранены, он заблокирует сайт и покажет пользователю предупреждение. У этих предупреждений может быть совершенно безвредная причина: неправильно установленная дата в системе (Windows или BIOS), действительно истекший срок действия сертификата (реже) или сертификат неизвестного происхождения. Это касается некоторых бесплатных сертификатов, например от CAcert, которые вы можете затем напрямую загрузить через окно меню браузера и сохранить. Последние версии веб-обозревателей настолько строги, что будет отнюдь не просто убрать с экрана такое предупреждение.
Нервирующий своими сообщениями UAC (средство контроля пользовательских учетных записей Windows) не различает вредоносное ПО и хорошие программы. Этот компонент обычно заранее предупреждает о вносимых изменениях в настройки Windows (например, в реестр). Всплывающее при этом окно опытные пользователи чаще всего закрывают, не прочитав, а в новичков оно вселяет неуверенность.
Для изменения частоты уведомлений выберите «Панель управления | Система и безопасность | Центр поддержки | Изменение параметров контроля учетных записей». При полном отключении данного средства не следует работать в Windows с правами администратора, поскольку в этом случае в систему легко могут проникнуть вредоносные программы. Поэтому, например, для установки приложений создайте быстрое переключение между пользователями, благодаря которому администраторские права смогут включаться одним щелчком мыши.
СЛИШКОМ УСЕРДНЫЙ БРАНДМАУЭР. Не каждая программа, пересылающая данные в Сеть, является трояном, собирающим информацию о вашем счете, кредитной карте или данных доступа. Этим занимаются и некоторые «хорошие» приложения. В случае с браузерами брандмауэр не бьет тревогу, но утилиты, использующие для передачи данных другие порты, например торрент-клиенты или сетевые медиаплееры, на всякий случай блокируются.
Если у вас есть сомнения, проанализируйте активные сетевые соединения с помощью программы CurrPorts. При том исключите из мониторинга все системные процессы, сняв флажок с «Display Items without Remote Address» в разделе «Options». Теперь должны остаться лишь знакомые вам программы. Если вы видите непонятный процесс, на вкладке «Process Path» найдите место расположения его файла и загрузите его с помощью Virus-Total Uploader для проверки на вирусы. При подтверждении подозрений в отношении вредоносной программы, в утилите CurrPorts с помощью клавиш «Ctrl+T» разорвите подключение к занятым портам и завершите процесс, выбрав в контекстном меню пункт «Kill Processes of selected Ports». Здесь, внизу страницы, вы можете скачать версии для 32 и 64 битных ОС.
ТИПИЧНЫЕ СИСТЕМНЫЕ ОШИБКИ. Причинами системных ошибок чаще всего становятся конфликты в структуре памяти, устаревшие драйверы и износ аппаратных средств.
В Диспетчере устройств проверьте, нет ли конфликтов аппаратных средств, и при необходимости обновите драйверы. В частности, это может помочь с ранними версиями операционной системы (Windows XP или ее предшественницами) — более новые ОС от Microsoft, как правило, загружают нужные драйверы автоматически, вам лишь нужно поставить галочки на рекомендуемых в центре обновления Windows. Если возникновению проблемы предшествовала установка какой-либо программы, с помощью функции восстановления системы верните ОС в прежнее состояние, когда компьютер еще работал нормально. И по возможности делайте архивацию системного раздела. Используйте программы CCleaner или Defraggler для очистки жесткого диска и реестра от остатков файлов, а также старых записей — и системные ошибки уйдут в прошлое. Отличная программа для очистки Windows от мусора и оптимизации ее работы — Auslogics Boost Speed.
Больше вы не получите предупреждающих сообщений — во всяком случае до тех пор, пока не будет взломан следующий благонадежный веб-сайт.
Антивирусные пакеты
В то время как слишком строго настроенные сканеры, такие как Avira и McAfee, довольно часто бьют ложную тревогу, программы от компаний Avast! и Microsoft смущают пользователей лишь в редких случаях. Если вы не хотите разбираться в настройках своего антивируса, то можете скачать Microsoft Essentials Security, отличный антивирус, прост в использовании и вы всегда сможете разрешить работу безобидного приложения, если антивирус заблокировал ее работу.
спасибо, очень интересная заметка.