В последнее время все больше участились вирусные атаки подменяющие MAC-адреса.

Я долго не задавался целью поискать с какой же целью пишуться такие вирусы.

Сегодня пришло время восполнить и этот пробел.

Сначала немного теории :

Как работает интернет ?

На такой вопрос не так просто ответить. Как например открывается сайт mail.ru ?

Я не буду вдаваться слишком подробно в работу протокола TCP/IP, а обозначу основные моменты.

Пользователь набирает адрес в браузере (Opera, Mozilla Firefox, Internet Explorer и т.д) адрес (mail.ru), браузер в свою очередь  очередь  пытается определить какой IP адрес соответствует этому имени (служба , которая за это отвечает DNS — Domain Name Service), и отправляет DNS запрос, DNS сервер выдает что адресу mail.ru соответствуют IP-адреса :

217.69.128.45
217.69.128.41
217.69.128.42
217.69.128.43
217.69.128.44
Несколько адресов могут соответствовать одному имени (работают несколько серверов, для снижение нагрузки). После этого браузер получает данные и открывает пользователю страничку.

Вот тут остановимся на несколько минут — еще существует файл hosts в папке c:\windows\system32\drivers\etc\ — в нем записаны некоторые соответствия — это сделано для того, чтоб ускорить работу и не запрашивать у сервера имен уже достоверно известные адреса.

По-умолчанию там одна запись вида 127.0.0.1 localhost — что означает что локальной машине по-умолчанию соответствует IP-адрес 127.0.0.1.

Ранее я писал про вирусы , которые модифицируют этот файл и записывают туда фейковые адреса для известных ресурсов (mail.ru, vkontakte.ru, odnoklassniki.ru).

Для чего же все эти старания ?

Все очень просто — злоумышленник копирует полностью дизайн известного сайта, и вносит изменения в этот файл — адрес в строке адреса браузера выглядит, как настоящий, но IP адрес не тот , а адрес злоумышленника. Когда пользователь открывает страничку он не подозревает о подмене и вводит свои учетные данные (Логин/пароль), которые отправляются прямиком в лапы злодею :).

В случае подмены MAC адресов происходит то же самое. Вирус подменяет адрес шлюза (чаще адрес ДНС сервера) своим. И может раздавать пользователям неверные данные и пересылать их вместо популярных ресурсов на поддельные.

Как же бороться с такими вирусами ?

Дело в том, что чаще всего запрос инициируется с другой машины и пользователь у себя ничего не видит. Вируса на его компьютере тоже нет. И антивирус ничего не находит.

Во-первых   — поставьте атрибут «только чтение» на файл hosts  и регулярно просматривайте его содержимое на предмет наличия в нем посторонних записей.

Во-вторых — сделайте небольшой .bat файл и поместите его в автозагрузку.

Содержимое этого файла :

arp -d xxx.xxx.xxx.xxx
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm

Где xxx.xxx.xxx.xxx IP-адрес Вашего шлюза (ДНС) провайдера
а mm-mm-mm-mm-mm-mm — это физический адрес (MAC-адрес) этого IP-адреса.

Правда существует и один недостаток — если у провайдера поменяется IP-адрес, сетевая карта или MAC-адрес — Вам нужно снова поправить этот файлик.

Разберем что же он делает :

arp -d xxx.xxx.xxx.xxx — удалит динамическую запись в arp-кеше.

arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm — добавит новую привязку статическую с заранее известным MAC адресом и сделает привязку — после этого вирус не сможет заставить Ваш компьютер воспринимать «чужие» адреса вместо положенных.

Да, чуть не забыл — как же узнать этот самый MAC адрес ?

В момент , когда все работает правильно и сбоев нет — выполните — Пуск- выполнить — cmd — Ок.

Появится черное окошко. Наберите :

arp -a

Это выведет все адреса и МАК-адреса соседних компьютеров, которые общались с Вашим (в том числе и провайдеровские).

Вопросы можно задавать в комментариях к этой статье.