В последнее время все больше участились вирусные атаки подменяющие MAC-адреса.
Я долго не задавался целью поискать с какой же целью пишуться такие вирусы.
Сегодня пришло время восполнить и этот пробел.
Сначала немного теории :
Как работает интернет ?
На такой вопрос не так просто ответить. Как например открывается сайт mail.ru ?
Я не буду вдаваться слишком подробно в работу протокола TCP/IP, а обозначу основные моменты.
Пользователь набирает адрес в браузере (Opera, Mozilla Firefox, Internet Explorer и т.д) адрес (mail.ru), браузер в свою очередь очередь пытается определить какой IP адрес соответствует этому имени (служба , которая за это отвечает DNS – Domain Name Service), и отправляет DNS запрос, DNS сервер выдает что адресу mail.ru соответствуют IP-адреса :
217.69.128.45
217.69.128.41
217.69.128.42
217.69.128.43
217.69.128.44
Несколько адресов могут соответствовать одному имени (работают несколько серверов, для снижение нагрузки). После этого браузер получает данные и открывает пользователю страничку.
Вот тут остановимся на несколько минут – еще существует файл hosts в папке c:\windows\system32\drivers\etc\ – в нем записаны некоторые соответствия – это сделано для того, чтоб ускорить работу и не запрашивать у сервера имен уже достоверно известные адреса.
По-умолчанию там одна запись вида 127.0.0.1 localhost – что означает что локальной машине по-умолчанию соответствует IP-адрес 127.0.0.1.
Ранее я писал про вирусы , которые модифицируют этот файл и записывают туда фейковые адреса для известных ресурсов (mail.ru, vkontakte.ru, odnoklassniki.ru).
Для чего же все эти старания ?
Все очень просто – злоумышленник копирует полностью дизайн известного сайта, и вносит изменения в этот файл – адрес в строке адреса браузера выглядит, как настоящий, но IP адрес не тот , а адрес злоумышленника. Когда пользователь открывает страничку он не подозревает о подмене и вводит свои учетные данные (Логин/пароль), которые отправляются прямиком в лапы злодею :).
В случае подмены MAC адресов происходит то же самое. Вирус подменяет адрес шлюза (чаще адрес ДНС сервера) своим. И может раздавать пользователям неверные данные и пересылать их вместо популярных ресурсов на поддельные.
Как же бороться с такими вирусами ?
Дело в том, что чаще всего запрос инициируется с другой машины и пользователь у себя ничего не видит. Вируса на его компьютере тоже нет. И антивирус ничего не находит.
Во-первых – поставьте атрибут «только чтение» на файл hosts и регулярно просматривайте его содержимое на предмет наличия в нем посторонних записей.
Во-вторых – сделайте небольшой .bat файл и поместите его в автозагрузку.
Содержимое этого файла :
arp -d xxx.xxx.xxx.xxx
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm
Где xxx.xxx.xxx.xxx IP-адрес Вашего шлюза (ДНС) провайдера
а mm-mm-mm-mm-mm-mm – это физический адрес (MAC-адрес) этого IP-адреса.
Правда существует и один недостаток – если у провайдера поменяется IP-адрес, сетевая карта или MAC-адрес – Вам нужно снова поправить этот файлик.
Разберем что же он делает :
arp -d xxx.xxx.xxx.xxx – удалит динамическую запись в arp-кеше.
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm – добавит новую привязку статическую с заранее известным MAC адресом и сделает привязку – после этого вирус не сможет заставить Ваш компьютер воспринимать «чужие» адреса вместо положенных.
Да, чуть не забыл – как же узнать этот самый MAC адрес ?
В момент , когда все работает правильно и сбоев нет – выполните – Пуск- выполнить – cmd – Ок.
Появится черное окошко. Наберите :
Это выведет все адреса и МАК-адреса соседних компьютеров, которые общались с Вашим (в том числе и провайдеровские).
Вопросы можно задавать в комментариях к этой статье.