Компьютерный СМЕРШ

Зайцев Олег (z-oleg.com/secur)

Спецвыпуск: Хакер, номер #060, стр. 060-070-5

Кроме того, в любом случае перед удалением BHO следует закрыть все окна IE и проследить, чтобы в памяти не осталось процессов iexplore.exe - существуют "звери", которые смещают окно IE за пределы экрана или делают его невидимым.

Настройки Internet Explorer

Еще одной опасной операцией, которую проделывают некоторые SpyWare и трояны, является перенастройка параметров безопасности IE. После чистки компьютера и убийства "зверей" в любом случае необходимо внимательно все проверить, так как часто ситуация кажется нормальной лишь на первый взгляд, а изменен всего один параметр, например включена установка ActiveX без запроса. Кроме того, однозначно нужно проверить список доверенных сайтов, там тоже можно обнаружить интересные записи типа xxxtoolbar.com.

Следующим шагом проверки настроек Explorer является проверка ключика реестра SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes. Этот ключ - один из самых "любимых" у разнообразных SpyWare и порноскопов. В нем задается настройка, позволяющая IE определять протокол по начальным символам URL. Например, параметр с именем www и значением http:// означает, что если введенный URL начинается с www, то перед ним нужно поставить префикс протокола http://>gt; . Следовательно, создание параметра gt; со значением http://некий сайт/?user_url=>gt; приведет к тому, что все URL, начинающиеся с gt; , будут дополняться указанной строчкой. Это очень старый и избитый, но до сих пор актуальный трюк. Из этого сделаем вывод, что все имеющиеся в ключе Prefixes параметры нужно проверить, желательно экспортировать ключ и поставить на него права доступа "только чтение".

Еще одной "шуточкой" со стороны SpyWare может быть использование списка "Избранное". У IE есть функция, благодаря которой вводимый в строке URL текст сначала сравнивается с именами ссылок списка "Избранное", причем сравнение ведется тупо, без всякого анализа. Соответственно, если в "Избранное" создать ссылку с именем www.google.com и затем ввести такой URL, то подстановка сработает.

Файл HOSTS

Правка файла hosts является одной из любимых задач разнообразных SpyWare. По простой идее этой методики в файл hosts вносятся строки типа xx.xx.xx.xx www.google.com, что приводит к переадресации обращения к сайту www.google.com на IP xx.xx.xx.xx. Это делается в целях накрутки посещаемости сайтов, обмана (сайт-подделка может выглядеть в точности как настоящий), блокировки обновления Windows, антивирусов и антиспайверов. Все это дело лечится обычной чисткой файла HOSTS вручную, а позднее установкой атрибутов для него "только чтение".

Поиск клавиатурных шпионов

Клавиатурный шпион можно искать в системе тремя способами: вручную, антивирусом или при помощи специализированных программ. Однако антивирус малоэффективен против кейлоггера, потому что устройство кейлоггера элементарно и можно написать разновидность, которую не будет детектировать ни один из антивирусов. (В этом номере есть небольшой примерчик, его легко скомпилировать и проверить на том же www.virustotal.com. Я специально пробовал - результат нулевой, ни один из 22-х антивирусов даже не пискнул.)