В последнее время все больше участились вирусные атаки подменяющие MAC-адреса.

Я долго не задавался целью поискать с какой же целью пишуться такие вирусы.

Сегодня пришло время восполнить и этот пробел.

Сначала немного теории :

Как работает интернет ?

На такой вопрос не так просто ответить. Как например открывается сайт mail.ru ?

Я не буду вдаваться слишком подробно в работу протокола TCP/IP, а обозначу основные моменты.

Пользователь набирает адрес в браузере (Opera, Mozilla Firefox, Internet Explorer и т.д) адрес (mail.ru), браузер в свою очередь  очередь  пытается определить какой IP адрес соответствует этому имени (служба , которая за это отвечает DNS — Domain Name Service), и отправляет DNS запрос, DNS сервер выдает что адресу mail.ru соответствуют IP-адреса :

217.69.128.45
217.69.128.41
217.69.128.42
217.69.128.43
217.69.128.44
Несколько адресов могут соответствовать одному имени (работают несколько серверов, для снижение нагрузки). После этого браузер получает данные и открывает пользователю страничку.

Вот тут остановимся на несколько минут — еще существует файл hosts в папке c:\windows\system32\drivers\etc\ — в нем записаны некоторые соответствия — это сделано для того, чтоб ускорить работу и не запрашивать у сервера имен уже достоверно известные адреса.

По-умолчанию там одна запись вида 127.0.0.1 localhost — что означает что локальной машине по-умолчанию соответствует IP-адрес 127.0.0.1.

Ранее я писал про вирусы , которые модифицируют этот файл и записывают туда фейковые адреса для известных ресурсов (mail.ru, vkontakte.ru, odnoklassniki.ru).

Для чего же все эти старания ?

Все очень просто — злоумышленник копирует полностью дизайн известного сайта, и вносит изменения в этот файл — адрес в строке адреса браузера выглядит, как настоящий, но IP адрес не тот , а адрес злоумышленника. Когда пользователь открывает страничку он не подозревает о подмене и вводит свои учетные данные (Логин/пароль), которые отправляются прямиком в лапы злодею :).

В случае подмены MAC адресов происходит то же самое. Вирус подменяет адрес шлюза (чаще адрес ДНС сервера) своим. И может раздавать пользователям неверные данные и пересылать их вместо популярных ресурсов на поддельные.

Как же бороться с такими вирусами ?

Дело в том, что чаще всего запрос инициируется с другой машины и пользователь у себя ничего не видит. Вируса на его компьютере тоже нет. И антивирус ничего не находит.

Во-первых   — поставьте атрибут «только чтение» на файл hosts  и регулярно просматривайте его содержимое на предмет наличия в нем посторонних записей.

Во-вторых — сделайте небольшой .bat файл и поместите его в автозагрузку.

Содержимое этого файла :

arp -d xxx.xxx.xxx.xxx
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm

Где xxx.xxx.xxx.xxx IP-адрес Вашего шлюза (ДНС) провайдера
а mm-mm-mm-mm-mm-mm — это физический адрес (MAC-адрес) этого IP-адреса.

Правда существует и один недостаток — если у провайдера поменяется IP-адрес, сетевая карта или MAC-адрес — Вам нужно снова поправить этот файлик.

Разберем что же он делает :

arp -d xxx.xxx.xxx.xxx — удалит динамическую запись в arp-кеше.

arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm — добавит новую привязку статическую с заранее известным MAC адресом и сделает привязку — после этого вирус не сможет заставить Ваш компьютер воспринимать «чужие» адреса вместо положенных.

Да, чуть не забыл — как же узнать этот самый MAC адрес ?

В момент , когда все работает правильно и сбоев нет — выполните — Пуск- выполнить — cmd — Ок.

Появится черное окошко. Наберите :

arp -a

Это выведет все адреса и МАК-адреса соседних компьютеров, которые общались с Вашим (в том числе и провайдеровские).

Вопросы можно задавать в комментариях к этой статье.

И не раз и не два я писал, что многие вирусы скрывают системные файлы.

Иногда все можно вернуть при помощи галочки «показывать скрытые и системные файлы» .

Но иногда и это не приводит ни к чему — вирус портит реестр Windows.

В этом случае поможет .reg файл следующего содержания

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

Создаем обычный текстовый файл. Пишем приведенный выше код. Сохраняем с любым именем и расширением .reg. Запускаем.
Галочки должны теперь работать.

Еще один способ: Пуск -> Выполнить -> regsvr32 /i shell32.dll -> Ok

На пресс-конференции компания Microsoft объявила о доступности украинской версии бесплатного антивируса Microsoft Security Essentials (MSE), релиз которого состоялся в сентябре прошлого года. За первую неделю программа была установлена более 1,5 млн раз. При этом, согласно статистике Microsoft, собранной с 535 тыс. компьютеров, антивирус за это время сумел обнаружить 4 млн вирусов.
Microsoft Security Essentials обеспечивает защиту домашнего компьютера в реальном времени от вирусов, программ-шпионов и других вредоносных программ. Информация о новых вирусах и вредоносных программах загружается в базу данных Microsoft Security Essentials автоматически. Поэтому, по заявлению компании, антивирусное ПО соответствует современным требованиям компьютерной безопасности. По результатам независимых тестов, AV Comparatives.org присвоили MSE высшую степень «Advanced +» в тестах на производительность и обнаружение угроз, проведенных в ноябре и декабре 2009 года.
Microsoft Security Essentials является первым антивирусным ПО Microsoft, в котором реализована технология Dynamic Signature Service, предоставляющая немедленную (Zero day) защиту компьютера от новых видов атак. В продукте также реализован поведенческий анализатор, позволяющий обнаруживать и блокировать активные процессы, которые выполняют потенциально опасные действия и поведение которых похоже на деятельность вредоносных программ.

Загрузить и установить бесплатный антивирус Microsoft Security Essentials смогут пользователи из Украины, использующие лицензионные копии операционных систем Windows XP, Windows Vista и Windows 7. Программа станет доступна с официальной страницы антивируса microsoft.com/security_essentials в 19:00 по киевскому времени

Читать запись полностью »