Форум общения и хорошего настроения

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Форум общения и хорошего настроения » Устаревшие темы » Как снизить вероятнось вирусного заражения.


Как снизить вероятнось вирусного заражения.

Сообщений 1 страница 4 из 4

1

Для того чтобы определить основные правила компьютерной "гигиены", необходимо выяснить наиболее распостраненные методы проникновения вируса на компьютер:

1. Интернет (сервера и сайты "общего пользования").
добровольное закачивание пользователем файлов, используя метод приманки; особенно для любителей халявы (крэки и различные ключи активации, включая совершенно нелепые вещи, как то: универсальные взломщики интернета или генераторы кодов пополнения к любой компании мобильной связи России; новые версии какого-либо программного обеспечения; программы, предназначенные исключительно для забавы (например, новые игры), в частности с порно-ресурсов); при этом скачанное приложение, наряду с вредоносной деятельностью, действительно может делать что-то полезное/бесполезное
используя метод навязывания (различные утилиты, обещающие улучшить работу компьютера или ускорить ваш интернет; программы для сканирования компьютера и удаления вирусов; различные графические эффекты, как например, хранитель экрана или скринсейвер)
используя неграмотную настройку браузера пользователя и скрипты (незаметное загружение файлов)
проникновение через уязвимости операционных систем и приложений, в частности браузера
метод обмана путем взлома известного сервера/сайта и замены общедоступных файлов на зараженные
2. E-mail (Электронная почта).

Не смотря на многочисленные предупреждения, этот способ заражения заметно лидирует.
Задача подобных писем - заинтересовать пользователя и заставить его запустить прикрепленный аттачмент (в некоторых случаях достаточно простого открытия).
Наиболее распространенные методы:
игра на человеческом любопытстве и глупости (заголовки: ”Я тебя люблю”, ”Люби меня страстно”, ”Твоя мечта”,” Хочу ещё”)
письмо, якобы по ошибке попавшее не туда
маскировка под известные компании и сервера (в том числе Microsoft)
Mail Delivery System (возврат якобы отправленного вами письма)
игра на человеческом страхе (например, извещение из полиции)
иногда и от имени знакомого вам человека, так как некоторые трояны и черви, осуществляют свою рассылку автоматически по всем контактам адресной книги пользователя, разумеется без его ведома
3. Документов Microsoft Office (Word, Excel, и т.д.).

Таким образом распространяются макровирусы.[list]
официальные документы, распространяющиеся фирмами по причине обыкновенного недосмотра
документы, полученные от знакомых
4. Дискеты или CD-диски с непроверенным содержимым.
нелегальные пиратские копии программного обеспечения
огромное количество компьютерных игр, заведомо распространяемое вместе с троянским приложениями
диски с софтом, полученные от друзей (компьютер которых давно заражен, но они об этом просто не знают)
5. Файлообменные сети (технология P2P).

Программы eDonkey, eMule, Kazzaa, BitTorrent, Gnutella, FastTrack, DC++ и прочие - являются настоящим рассадником различных инфекций.

6. IRC-клиент (mIRC).

IRC (Internet Relay Chat) - сеть, предназначенная для общения в реальном масштабе времени. Но благодаря своему функционалу (например, запуск скриптов при соединении с сервером), очень часто используется вирусами.

7. ICQ и другие мессенджеры.
прямая передача пользователю зараженного файла
сообщения, содержащее ссылку на зараженный файл
часто от имени знакомого вам человека, так как некоторые трояны и черви, осуществляют свою рассылку автоматически по всем адресам контакт-листа пользователя, разумеется без его ведома
8 .Персональные компьютеры "общего пользования".
компьютеры учебных заведений и файлы, перенесенные оттуда на ваш персональный компьютер (например, через флешку)
домашние компьютеры, если на них работает более одного человека
разрешение сесть за ваш компьютер постороннему человеку
предоставление части ресурсов компьютера (в частности папок, каталогов) в совместное пользование
---------------------

ВЫВОДЫ:

Старайтесь никогда не запускать файлы, попавшие на ваш компьютер независимо из какого источника (интернет; P2P сети; почта..), предварительно не проверив их антивирусом (это же касается и архивов).
При этом не стоит в таких случаях целиком и полностью полагаться только на свой антивирус (подвести может любой!), т.к. вероятность того, что именно этот вредоносный экземпляр вовремя не попал к вирусным аналитикам - есть всегда (также см. пост SEND A VIRUS).
Для надежности воспользуйтесь он-лайн ресурсом, где есть возможность проверки файла сразу несколькими антивирусами:
http://www.virustotal.com/
http://virusscan.jotti.org
Настройте параметры безопасности браузера и операционной системы на высокий уровень
Для подозрительных ссылок (полученных через почту; ICQ..) используйте специальный ресурс Dr.Web'a:Проверить URL
Удаляйте все сообщения электронной почты, содержащие какой-либо аттачмент, если у вас не было о нем предварительной договоренности с отправителем.
При открытии писем неизвестного и подозрительного происхождения обязательно отключайте функцию автоматического выполнения скриптов в настройках вашего браузера/почтового клиента.
С осторожностью относитесь к любым документам Microsoft Office.
Перед тем как открыть, лучше сделать проверку сканером, специализирующемся на макровирусах. Например, Stocona Antivirus On-Line:
http://stocona.ru/onlineantivirus/index.aspx
И если офисная программа при открытии документа предлагает вам отключить макросы - согласитесь. Если они там действительно необходимы, их потом можно включить.
Не забывайте проверять содержимое дискет, CD-дисков, флешек (USB Flash Memory Storage) и других приспособлений для переноса/хранения информации, которые не были записаны вами.
Это же касается и покупки дисков с играми и любым программным обеспечением.
По возможности никогда не позволяйте посторонним людям работать на вашем компьютере.

статья с softodrom

0

2

Каждому из нас требуется заботиться о своей безопасности в сети. Оставим тему взлома и заметания следов, и позаботимся о безопасности собственной операционной системы. Не каждый из нас знает, насколько коварны могут быть дефолтные настройки винды. А потому рассмотрим элементарные методы защиты ОС, которые должен знать каждый.

Речь пойдёт о самой распростронённой ОС - Windows.
Как бы мы её не ругали и ненавидели её и папу её =] , всё же большинство весьма полезного и самого разнообразного ПО написано под неё. Людям, пересаживающиеся на Линукс и др., знакомо чувство некоторого дискомфорта в связи с отсутствием многих вкусностей. Потому научимся оборонять наши глючные окошки.

Наверное каждый согласиться, что чем популярнее опрационная система (да и вообще любая программа) ,тем больше находиться желающих использовать её ошибки для получения выгоды\морального удовлетворения. Таким образом с ростом количества компьютеров сети, открытием новых ошибок в любимой Windows, встает вопрос, как правильно и 100 процентно обеспечить стабильность и надежность этой самой любимой...

==============Предварительные советы.

Вы не можете на 100% быть уверены, заражен ли ваш компьютер или нет. Поэтому:

1. Выдерните сетевой кабель.

2. Желательно переустановить систему для 100% уверенности с уже проверенного диска(без вирусов). Метод радикальный, согласен. Зато надёжный.
Желательно, чтоб это была WinXP(SP1\SP2\SP3), как наиболее универсальная система(поддержка сети, подавляющего кол-ва программ, наличие драйверов под неё имеется у всех современных устройств).
Так же можно поставить Win2000(SP3\SP4), Win2003(SP1), WinWistaLonghorn, ну или на крайний случай Win98\ME, WinNT.

3. Советую поставить драйверы(DirectX, видео, аудио) ДО установки обновлений.

==============Установка обновлений.

Итак, что же такое ОБНОВЛЕНИЕ и зачем оно нужно.

Обновление – это патч(заплатка), который устраняет\закрывает ошибку в программе. Хакеры используют такие ошибки(дыры) для получения несанкционированного доступа к вашему компьютеру. Поэтому чем больше обновлений у вас стоит – тем меньше вероятность взлома вашей машины.

Для каждой системы выпускается своя собственная заплатка. Microsoft (разработчик Windows) выпускает эти обновления абсолютно бесплатно. Вам лишь требуется их скачать\взять у друга и установить. Замечу, что для Win98\ME, WinNT выпуск заплаток прекращен, так как они признаны устаревшими(иными словами там дыр столько, что размер патчей равен весу новой винды :-] ).
Если вы всётаки решили установить именно такую операционную систему, боюсь разговор о безопасности здесь уже не уместен.
В Win2000(SP3\SP4) обнаружены некоторые критические НЕУСТРАНИМЫЕ ошибки, поэтому устанавливать её весьма рискованно.

Если вы еще не представляете себе всей серьезности ситуации взгляните СЮДА (http://elsenot.com/) . История Майкрософта в дырках. Вуаля. Всего одна дырочка и вы – жертва.

Обновления по мере накопления организуют в сервис-паки(SP) – наборы обновлений, чтобы пользователь устанавливал не 20 отдельных патчей, а один. Например, для Windows2000 - это SP1\2\3\4, для XP – SP1\2\3. . Более новый сервис пак, включает в себя все старые, поэтому необходимости ставить все SP нет.

Итак, раздобыв SP для своей системы необходимо их установить. (все патчи скачиваються с мелкософта)

1. Выгрузите все программы.

2. Будет не лишним создать контрольную точку восстановления системы, если что то пойдет не так.
“Пуск” -> “Все программы” -> “Стандартные” -> “Служебные” -> “Восстановление системы” -> “Создать точку восстановления” -> “Имя точки (можно от балды)” -> “Создать”.

“Аминь” :-]

Если система после дальнейших наших настроек вдруг наотрез откажется загружаться, или начнет дико глючить – можно сделать откат.
При загрузке компьютера жмите F8 . Выползет меню. Выбирайте самый верхний пункт “загрузка в безопасном режиме”.
Потом выползет табличка с каким-то вопросом – жмите “Да!!” и идите в

“Пуск” -> “Все программы” -> “Стандартные” -> “Служебные” -> “Восстановление системы” -> “Восстановление более раннего состояния компьютера”.

Выберите свою точку восстановления и долго думайте какого фига так глюкануло…

3. И начинайте устанавливать ваш SP и остальные заплатки.

Сначало поставьте SP. Он захочет перегрузиться, соглашаемся. Затем остальные заплатки, начиная с самых младших. Многие из них так же будут требовать перезагрузки. Можно отказываться(если у тебя 20 заплаток, не перегружаться же 20 раз), и ставить следующую, и лишь закончив их ставить – перегрузись.
Если какая либо заплатка старее чем уже установленная, она сама скажет об этом и не станет устанавливаться.
Ты теперь типа самый крутой и мега защищенный чел ))
Однако безопасность отнюдь не ограничивается патчами Майкрософта.

==============Сервисы:

1. Кликаем правой кнопкой мыши по "Мой компьютер" -> "Управление" -> "Службы и приложения" ->"Службы"
Либо “Пуск” -> “Панель управления” -> “Администрирование” -> “Службы” .

2. Двойным щелчком мыши кликаем указанным ниже службам и изменяем "Тип запуска".

3. Здесь список служб, связанных с сетью, которые ДОЛЖНЫ иметь статус "отключено" :
Звездочкой " * " отображены желательные, но не обязательные службы (см. её Описание, т.е. чё она делает).

Telnet
*Автоматическое обновление (вы качаете заплатки от майкрософт?)
*Беспроводная настройка (вы используете беспроводную сеть?)
*Брандмауэр Windows/Общий доступ к Интернету (Встроенный в винду фаервол, жалкое подобие, лучше отключить и поставить нормальный)
Оповещатель
*Служба времени Windows (ваши часы на компе отстают в день на два часа?)
Служба сообщений
Удаленный реестр
*Центр обеспечения безопасности(фигня… задаёт кучу вопросов, не более)

==============Настройка прав доступа.

1. Отлючить DCOM на компьютере:

Для Windows2000 набрать в командной строке("WIN"+"R") следующее: "DCOMCNFG", и во вкладке "Свойтсва по умолчанию", убрать галочку с "разрешить DCOM на этом компьютере".

Для WindowsXP лезем в "Пуск"->"Настройка"->"Панель управления"->"Администрирование"->"Служба комнонентов"->"Мой компьютер" правой кнопкой по значку компа и выбираем "свойства". Находим вкладку "Свойства по умолчанию" и убираем галку "Использовать ДКОМ на данном компе".

Зачем мы это сделали? Сетевой червь "Lovesan", "MsBlast" и его потомки ипользуя уязвимость в DCOM, заходит на машину жертвы, позволяя получить доступ к жестким дискам компьютера, а следовательно и ко всему компьютеру, по сети. Даже если вы установили обновление против него – престраховка не помешает. Дыру в этой службе Мелкософт закрывала уже два раза )).

2. Рабочая группа.

Знаете, какая самая большая распространённая ошибка после установки системы? Вы забываете сменить рабочую группу. Это ОЧЕНЬ ОПАСНАЯ ОШИБКА. Объясняю, почему.
- Во-первых, из-за вас у всей локальной сети тормозит дмесс(лан-болталки), сетевое окружение, а у вас самих и то и другое может вообще не работать.
- Во-вторых, вы идеальная мишень для сетевой хакерской атаки, выдавая свою свежепоставленную непропатченную систему с потрохами. Это всё равно, что встать на поле боя с мишенью на груди.

3. И как ты думаешь, скока пользователей в твоей системе? Ты один? Фига.
Идём в "Мой компьютер" -> "Управление" -> "Локальные пользователи и группы" ->"Пользователи".
Нет, это не глюк. Помимо тебя в системе ещё есть Администратор, Гость, HelpAssistant, SUPPORT_хххххххх, и мож даже ещё кто-нить. Можешь отключать\удалять всех кроме Админа, тебя самого, и гостя (если хочешь закрыть доступ к твоим папкам из сети).
Кстати, даже включив учетку гостя, доступ по сети будет возможен только, если в реестре есть спец. запись (так называемый доступ по нулевой сессии). Её можно проверить, а лучше создать вот как.
Создай текстовый документ и помести туда вот эти строчки

Windows Registry Editor Version 5.00
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
SetValue "RestrictAnonymous"=dword:00000000 (0)

Сохрани его и измени расширение файла на *.reg, например 123.reg Запускай файлик и ответь “Да!!” на вопрос. Потребуется перезагрузка для вступления изменений в силу.

Да, кстати, включив учетку гостя, ты предоставляешь не только доступ к своим расшаренным папкам, но и много другой информации(время на компе, список пользователей и др.), которую можно использовать против тебя. Так что вот оно как….

Для любителей анонимности ОЧЕНЬ РЕКОМЕНДУЮ НАОБОРОТ ЗАКРЫТЬ ДОСТУП ПО НУЛЕВОЙ СЕССИИ.

4. Пароль ты конечно поставил мега-сложный?“123”? “asd”? “вася”?
Современные переборщики паролей подбирают со скоростью 1 000 000 вариантов в сек (!!!).
Придумай что нить посложнее. Например “123в@ся”. А изменить его можно через панель управления или по предыдущему пункту (надо на учетке жать не свойства, а “Задать пароль”).

5. И твоя учетка конечно же имеет адмистраторские привелегии. Да, это удобно, не спорю. Но это ещё одна из основных ошибок. Можно понизить свои права, переведя себя в другую пользовательскую групу, ниже админа. Изменить привелегии или надеется на лучшее.. - выбирать тебе.

6. А теперь расскажи ка, сколько открыто у тебя папок на доступ в сеть? Ни одной? Ты уверен?
Тогда иди в "Мой компьютер" -> "Управление" -> "Общие папки" ->" Общие ресурсы ". Угу. Тык вот. По умолчанию винда расшаривает на доступ все(!!!) твои диски. Однако доступ к ним возможен не всегда, и лишь зная пароль Администратора. Не надо нам такого счастья.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000 ”

После перезагрузки из общих ресурсов останется лишь IPC$. Его нельзя отключить, и вообще ето никакой не ресурс, а система аутентификации…

======Полезный совет
На дорогих сетевых картах имеется дополнительный сопроцессор, выполняющий основные функции по обработке сетевых пакетов, призванный дополнительно разгрузить CPU, однако по умолчанию в Windows 2000\XP он не задействован. Чтобы включить его, надо:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters]
"DisableTaskOffload"=dword:00000000

Если твоя карточка за сотню-две сотни тебе это не светит. Но попробовать стоит. Даже если не сработает – оставь, глюков не будет.
=======Полезный совет

7. Усиленное шифрование паролей в системе

Это чтоб плохие дяди дольше грызли ногти ))) Пригодиться

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]
"lmcompatibilitylevel"=dword:00000002

==============Уточню полезные правила установки\эксплуатации любого антивируса\фаервола:

1. Сам инсталлятор и обновляемые базы желательно скачивать из проверенных источников.

2. Установку желательно не делать в папку по умолчанию. Достаточно изменить пару символов в пути. Это полезно, так как в некоторые вирусы встроен механизм отключения\порчи антивируса. Изменение стандартных путей установки помешает вирю найти цель.

3. Задавайте пароль на изменение настроек. “123” – вполне достаточно для того, чтобы вирус не смог их изменить.

4. Чем актуальнее (новее) антивирусные базы, тем больше шансов, что вирус будет найден, если он есть на машине.

5. Нужно регулярно проверять машину на вирусы.

6. Прежде, чем запустить незнакомый файл – трижды подумайте.

Разумеется, серьёзного виря такие ламерские методы не остановят.

==============Следует помнить, что помимо антивирей и фаеров есть другие программы, борющиеся с гораздо более серьёзным и продвинутыми творениями вирмейкеров.

AntiSpy-приложения – служат для выслеживания всяких шпионских модулей, таких как keyloger(клавиатурный шпион), мышиные и видео шпионы
AntiTroyan – противодействует troyan (отсылка ваших паролей хакеру), backdoor(удалённое управление вашим ПК),
AntiRootkit – обнаружение скрытых вирусных программ\процессов\директорий\ключей реестра rootkit(скрытие вредоносного ПО в системе).

2. Ставьте сложные пароли, набранные на разных раскладках, разными языками с использованием цифр и символов. Например, “PaR@N()YA” или “V1t@LiK”.

3. Не используйте один и тот же пароль для всех объектов (хакеру достаточно взломать один из них и получить доступ к остальным).

4. Если вам дороги накопленные долгими месяцами\годами данные, то делайте РЕЗЕРВНОЕ КОПИРОВАНИЕ на СД\ДВД. Будьте уверены, что в самый неподходящий момент их сожрёт гадкий вирь или жесткий диск прикажет долго жить(закон подлости).(Secura Backup, Nero, RestoreIT, FullSync, azguard). Бэкапить хак-тулзы без шифрования - плохая идея и удачная находка для отдела "K".

5. Если вы хотите обезопасить документы от чужого взгляда – используйте шифрование. В WinXP есть служба позволяющая шифровать от папки до всего диска. Однако, это не надежный способ. В Интернете давно имеються проги ломающими НТФС-шифрование. Есть конечно же програмы с криптостойкими алгаритмами(BestCrypt, AxCrypt, PGP9).

6. И, наоборот, если необходимо уничтожить что-то без возможности восстановления, это не проблема(secure_delete, eteraser,drivecleanser,F-Erase).

7. Не запускайте незнакомые программы.

8. Не лазайте по сомнительным сайтам =] . Для брождений по Интернету используйте Оперу, ФаерФокс или Мозилу, но никак не IE Майкрософта.

9. Не общайтесь в сети с незнакомцами =].
(можно вообще забить дверь гвоздями ))) )

==============Напутствие.

Если у вас есть что-то действительно ценное – вас обязательно как-нибудь да поломают. Если не виртуально, то физически выкрав системник :-]

возможно автор статьи Elekt , респект просто многое объяснил

+1

3

Ляхтырдым, ввиду ценности информации, может, перенести эту тему в раздел Хай-тек?

0

4

Мгновенные угрозы в icq
Существует множество способов связи, каждому из которых отведено определенное место в сетевом пространстве – электронная почта, чаты, различные форумы, комментарии в блогах и т.д. Среди пользователей также популярны системы мгновенного обмена сообщениями (англ. instant messengers, или IM), которые позволяют общаться с человеком, находящимся в любой точке мира, в режиме реального времени.

Чтобы общаться с помощью IM, пользователю достаточно иметь доступ в Интернет и установленную на компьютере программу (клиент) для мгновенного обмена сообщениями. Подобных программ очень много, и основные функции IM – собственно обмен сообщениями, поиск собеседников по интересам, просмотр персональной информации владельца аккаунта, различные режимы, в которых пользователь может находиться в Сети и т.д. – реализованы практически во всех IM-клиентах. Помимо этого, некоторые IM-клиенты (или, как их еще называют, интернет-пейджеры) могут иметь набор дополнительных функций.

В России самым популярным IM-клиентом, без сомнения, является ICQ. Название ICQ созвучно английской фразе «I seek you», что означает «я ищу тебя». У каждого пользователя ICQ есть уникальный номер, или UIN (unique identical number), с помощью которого он авторизуется на сервере. Каждый уникальный номер защищен паролем, который устанавливает пользователь. Сообщения передаются по протоколу TCP/IP с использованием специального формата, разработанного компанией Mirabilis. Как правило, одно сообщение умещается в одном TCP-пакете. Некоторые другие клиенты – например, QIP (Quiet Internet Pager) или Miranda – пересылают сообщения, используя различные версии этого же протокола.

Еще одна программа – ее предпочитают многие западные пользователи – MSN Messenger (или Windows Live Messenger), стандартный IM-клиент, разработанный компанией Microsoft. MSN Messenger использует Microsoft Notification Protocol (иногда его также называют Mobile Status Notification Protocol – протокол для мобильного оповещения). Протокол MSNP2 является полностью открытым, однако код остальных его версий на данный момент закрыт. В последней версии MSN Messenger используется версия MSNP16.

В Китае имеется аналог ICQ, который называется QQ. Его популярность в данном регионе очень высока.

В программе Skype помимо функции интернет-пейджера реализована возможность голосового общения. Этот клиент, получивший широкое распространение во всем мире, позволяет пользователям бесплатно обмениваться голосовыми сообщениями. Для этого каждому собеседнику необходимо иметь гарнитуру с микрофоном и компьютер с доступом в Интернет и установленным клиентом. Skype также позволяет звонить на телефонные номера, но такая услуга стоит денег.

Угрозы в ICQ

На примере ICQ мы рассмотрим наиболее распространенные способы атак, которые злоумышленники могут предпринимать и в отношении пользователей других IM-клиентов.

Кража паролей

Как уже было сказано, у каждого пользователя ICQ есть свой уникальный идентификационный номер, или UIN. В настоящее время наиболее распространены девятизначные номера, однако многие пользователи хотят, чтобы их UIN совпадал с номером мобильного телефона, был симметричным или содержал одинаковые цифры. Такие UIN’ы удобны для запоминания, а для кого-то подобный номер – вопрос престижа. Особенно ценятся так называемые «красивые» ICQ-номера – пяти-, шести- или семизначные UIN’ы, содержащие, например, только две цифры.

«Красивые» номера продаются, и их цена, как правило, достаточно высока (зависит от "красоты" от 0.1 WMZ до 5000-3000 бикинских за крутые "пятизнаки" шестизнак в районе 3-10 WMZ , WMZ ут около бакса*). На многих сайтах существует услуга «заказ номера»: за установленную плату владельцы сайта обещают с некоторой долей вероятности «достать» приглянувшийся заказчику UIN (заодно там популярно расскажут о защите и "нападении" если ето не "магаз" а форум*). Кроме того, покупателям предлагают оптовые партии ничем не примечательных девятизначных номеров, которые представляют интерес для любителей массовых рассылок. Использование большого количества номеров при проведении спам-рассылок позволяет спамерам обойти «черные списки», куда разгневанные пользователи заносят номера, с которых приходят спам-сообщения.

Продавцы «престижных» номеров редко рассказывают о методах их получения.  В электронных магазинах покупателей уверяют, что «красивые» UIN’ы продаются на законных основаниях. Но на самом деле в большинстве случаев такие ICQ-номера добываются нелегальным путем (несовсем так все номера принадлехат AOL и мы их "арендуем" так что хозяин асек вовсе не челоек а корпорация*).

Для кражи UIN’ов злоумышленники используют несколько способов. Многочисленные интернет-магазины, торгующие «красивыми» номерами, зачастую занимаются «промышленным» перебором паролей и кражей аккаунтов (Брут , пинч, и хек различных уровней и сортоф :)*. Еще один способ – подбор пароля к primary email и изменение исходного пароля к UIN’у пользователя без ведома последнего(несложно надо либо "ловить на тупой пароль" или доставать другим методом*). Рассмотрим этот способ подробнее.

Если пользователь забыл пароль к своему UIN’у, служба поддержки ICQ предлагает определенную схему его восстановления. Она неоднократно усложнялась, дорабатывалась и в настоящее время представляет собой систему, более или менее надежно защищающую пароль от кражи (лукавят слегка, методы отема тож изменились*). Пользователю предлагается ввести ответы на установленные им самим вопросы. Если же он забыл ответы, то вопросы можно сменить при помощи primary email – почтового адреса, введенного в контактную информацию при регистрации. Схема достаточно надежна, но если злоумышленник каким-либо образом получил доступ к primary email, то UIN, можно сказать, у него в кармане (не факт надо знать что за аська на етом мыле, а на ето есть "списки" поетому начинают с обратного берут аську и находят ее мыло или "наудачу" гребут все подрят а потом сортируют*). Подобрав пароль к primary email, можно связаться со службой поддержки ICQ и от имени владельца аккаунта попросить выслать новый пароль, поскольку старый якобы забыт. После получения нового пароля злоумышленник может лишить владельца доступа и к ICQ, и к primary email, сменив старые пароли. Следует отметить, что такой способ кражи достаточно непрост: для перебора паролей к почтовому ящику, с которым связан номер ICQ, необходим мощный компьютер или даже сеть(лукавят каждый так сможет ет несложно, просто с мосчным или сетью и быстрее и был ломаешь одновременно больше*).

Однако наиболее популярна кража ICQ-номеров при помощи различных вредоносных программ, среди которых лидирует Trojan-PSW.Win32.LdPinch. Данное семейство угрожает пользователям на протяжении последних нескольких лет. LdPinch ворует пароли не только к ICQ и другим IM-клиентам (например, Miranda), но также к почтовым клиентам, различным FTP-программам, онлайн-играм и т.д. Существуют специальные программы-конструкторы для создания необходимого злоумышленнику троянца – они позволяют задавать параметры установки вредоносного ПО на зараженный компьютер, определять, какие именно пароли вредоносная программа будет воровать у пользователя, и т.д. После конфигурирования преступнику остается лишь указать электронный адрес, на который будет отправляться конфиденциальная информация (ага а обойти антивирусники поможет криптование - "шифрование" и неплохо бы джойнер - склейщик трояна с всякими прогами и картинками*). Именно простота создания таких вредоносных программ приводит к тому, что они часто встречаются не только в почтовом, но и в IM-трафике.

Распространение вредоносных программ

Если в почтовом трафике вредоносные программы, распространяющиеся самопроизвольно или благодаря спаму, являются представителями самых разных семейств, то через ICQ распространяются в основном три группы подобных программ:

1. IM-черви – вредоносные программы, использующие клиент как плацдарм для саморазмножения.

2. Троянские программы, нацеленные на воровство паролей, в том числе и к номерам ICQ (в подавляющем большинстве случаев это Trojan-PSW.Win32.LdPinch).

3. Вредоносные программы, классифицируемые «Лабораторией Касперского» как Hoax.Win32.*.* (сюда относится вредоносное ПО, предназначенное для получения от пользователя денежных средств обманным путем).

Каким же образом распространяются вредоносные программы через ICQ?

Распространение IM-червей происходит без участия (или почти без участия) пользователя. Многие IM-черви после попадания на компьютер пользователя распространяют ссылку на себя по номерам, содержащимся в контакт-листе IM-клиента зараженной машины. Функционал IM-червей достаточно разнообразен: это и упомянутое выше воровство паролей, и создание ботнетов, а иногда – обычная деструктивная деятельность (например, удаление всех файлов формата .mp3 на компьютере пользователя)(вот ето могли и не говорит чем не "защита прав обладателей", первый вирус придумали как раз для защиты проги от воровства *). Через ICQ активно распространялись такие зловреды, как Email-Worm.Win32.Warezov и Email-Worm.Win32.Zhelatin (Storm Worm)( да их вообще дофига*).

Однако в большинстве случаев для успешного проведения атаки злоумышленникам необходимо участие пользователя. Тем или иным способом они пытаются спровоцировать потенциальную жертву перейти по ссылке, размещенной в полученном сообщении, а если по ссылке загружается вредоносная программа – открыть загружаемый файл. Для достижения желаемого результата мошенники часто применяют методы социальной инженерии,(короче "повелся" и все*).

Вот пример атаки, конечной целью которой является загрузка на компьютер жертвы вредоносного ПО. Для начала злоумышленник регистрирует некоторое количество пользователей с привлекательной для знакомства информацией (например, «симпатичная девушка 22 лет ищет парня»). Затем он «привязывает» к этим номерам боты (небольшие программы с примитивным интеллектом, способные поддержать простой разговор)(нефига примитивные многие довольно интересны в общении*). В самом начале беседы заинтересованные пользователи обычно хотят увидеть фотографию «симпатичной девушки», для чего бот предлагает им перейти по ссылке. Стоит ли говорить, что по указанному адресу любопытного пользователя ожидает не фотография, а вредоносная программа?(и фотка тоже чеб не заподозрил*)

Еще один вариант – внесение ссылки на вредоносную программу в личные данные «симпатичной девушки». Этот вариант атаки требует от злоумышленника дополнительных усилий: ему необходимо не только заполнить хотя бы несколько основных полей в личных данных и выбрать потенциальных жертв атаки, но и самому общаться с ними, пытаясь заинтересовать их «красивыми фотографиями с побережья Тихого океана», ссылка на которые размещена в личных данных «собеседницы».

Распространение вредоносных программ с помощью ICQ-спама также не обходится без методов социальной инженерии. При этом рассылается не сама вредоносная программа, а ссылка на зловреда.

Ссылки в спаме могут вести и на сайты (легальные, но взломанные, либо специально созданные злоумышленниками), страницы которых заражены кодом троянцев-даунлоадеров. В задачу даунлоадеров входит загрузка другого вредоносного ПО на компьютер жертвы. Ниже приведено более подробное описание такой атаки.

Для загрузки вредоносного ПО с помощью зловредного кода, внедренного на веб-сайт, чаще всего используются ошибки, или уязвимости, браузеров (в основном, Internet Explorer)(во всех браузерах подобное есть в большей или меньшей степени*) . Для начала злоумышленник атакует легальный и, как правило, достаточно популярный веб-сайт, на страницы которого он внедряет код (например, iframe или зашифрованный Java-script), устанавливающий вредоносную программу на компьютеры посетителей данного сайта. Другой вариант – на дешевом или бесплатном хостинге создается простой сайт с подобным загрузочным кодом. Затем производится массовая IM-рассылка с рекламой данной веб-страницы. Если пользователь переходит по предложенной ему ссылке, происходит незаметная загрузка вредоносного ПО на его компьютер. При этом пользователь может даже не подозревать о том, что сайт, на который он зашел, был атакован или является поддельным. А на его компьютере тем временем уже вовсю орудует LdPinch или IRCBot.

Программы для мгновенного обмена сообщениями также имеют уязвимости, которые могут быть использованы для атаки. С помощью уязвимости можно, например, вызвать переполнение буфера и исполнение произвольного кода в системе или получить доступ к удаленному компьютеру без ведома и согласия его владельца.

Если преступник встроит в код вредоносной программы, которая будет запускаться в системе после переполнения буфера, функцию самораспространения с использованием той же уязвимости на других машинах, то такая программа может в короткие сроки проникнуть на компьютеры значительной части пользователей, использующих уязвимое приложение, и вызвать настоящую эпидемию. (гы поетому не используйте софт который является "стандартным") Однако использование уязвимостей IM-клиентов для атаки требует от злоумышленников высокого уровня технической подготовки, что несколько ограничивает их возможности(каждый научиться может даж в етом нифига не понимая - проги есть "специяльные"*.

В последнее время при помощи ICQ-спама активно распространяются программы-обманки, якобы генерирующие пин-коды карт оплаты услуг связи различных мобильных операторов. Такие программы детектируются «Лабораторией Касперского» как not-virus.Hoax.Win32.GSMgen. На самом деле данное ПО неограниченное число раз генерирует случайную комбинацию цифр, которую и предлагается использовать в качестве пин-кода для пополнения телефонного счета. Программа выдает результаты в зашифрованном виде, а чтобы их расшифровать, нужно получить от автора ключ (разумеется, за него нужно заплатить). Сумма обычно небольшая – примерно 10-15 долларов, что служит дополнительным соблазном для пользователя. Он думает примерно так: «Заплачу один раз 300 рублей, а потом всю жизнь буду говорить по мобильному телефону бесплатно»! Поскольку полученный таким образом набор цифр не позволяет пополнить счет, в данном случае мы имеем дело с обыкновенным мошенничеством. (Отметим, что если бы данная программа действительно генерировала пин-коды карт оплаты услуг связи, то, во-первых, она стоила бы намного дороже, а во-вторых, создатели программы соблюдали бы строжайшую секретность, опасаясь привлечь к себе внимание операторов мобильной связи и спецслужб.)

Спам в ICQ

В отличие от email-спама, спам в ICQ на данный момент исследован недостаточно хорошо. Ниже приведены результаты небольшого исследования, которое было проведено нами в период с 23 февраля по 23 марта 2008 года. Мы исследовали тематику нежелательных сообщений, рассылаемых пользователям ICQ, а также провели сравнительный анализ спама в ICQ и спама, рассылаемого по электронной почте.

Популярные тематики в ICQ-спаме

Тематика спам-сообщений в ICQ весьма разнообразна: это может быть реклама нового сайта или игрового сервера, просьба проголосовать за кого-то в каком-нибудь конкурсе, предложение купить дорогой мобильный телефон по сниженной цене и т.д. Однако, перейдя по рекламной ссылке, можно попасть на сайт с эксплойтом, использующим уязвимости Internet Explorer (воопче дыр массу имеет*)или другого популярного браузера. Спам-сообщение также может содержать URL вредоносной программы (сообщения, содержащие вредоносные ссылки, в данном исследовании в отдельную категорию не выделялись).

Первое место в нашем рейтинге занимает реклама сайтов развлекательного содержания (18,47%). С высокой долей вероятности можно утверждать, что рассылки подобного рода будут и впредь занимать лидирующие позиции в спам-статистике ICQ, что объясняется высокой эффективностью подобного спама. Вот типичная ситуация: человек в течение длительного времени работает за компьютером, и тут ему по ICQ приходит сообщение об открытии нового сайта со множеством смешных картинок/историй/видео и т.п. Скорее всего, уставший пользователь захочет отвлечься от работы и перейдет по предложенной ссылке.

Что касается занявшей второе место рубрики «Спам "для взрослых"» (17,19%), то здесь рассылаемые сообщения напоминают спам-письма в почтовом трафике: это реклама сайтов знакомств, порно-ресурсов, частного эротического материала и т.д.

В рубрику «Заработки в Сети» (15,83%) попали сообщения, содержащие предложения денег за клики по рекламе, посещение определенных сайтов, просмотр рекламы, а также сообщения, связанные с сетевым маркетингом.

Рубрика «Остальной спам» (12,77%) формируется из сообщений различной тематики, низкий процент которых в общем потоке спама не позволяет создать для них отдельные рубрики. Фантазии авторов таких сообщений можно только позавидовать. Рассылаются различные «письма счастья», реклама зубной пасты, предсказания архиепископов о грядущей в России диктатуре фашизма и т.д. Основные рекламируемые товары – это различные DVD-диски и автомобильные запчасти. В ICQ также встречаются фишинговые сообщения, о которых будет подробно рассказано ниже.

Сообщения, тем или иным образом затрагивающие ICQ, были отнесены к рубрике, занявшей в нашем списке пятое место (8,17%). Особняком здесь стоят «письма счастья ICQ-пользователя», которые в большинстве случаев содержат следующий текст (авторская орфография и стиль полностью сохранены):

«ВНИМАНИЕ !!! начиная с 1.12 ICQ стаНет платным.
Ты можешь предотвратить это, пошли 20 членам из твоего контактного
списка это сообщение. Это не является никакой шуткой (источник wwwicq.com) Если ты послал его 20 раз
ты получишь электронное письмо и твой цветок стаНет синим. Т.е. ты попадаешь
в число тех, кто против. Если голосование выйграет, то аська остаНется бесплатной»

Меняются лишь даты и количество человек, которым предлагается послать данное сообщение. Следует отметить, что некоторые послания содержат многоуровневое цитирование – это означает, что многие пользователи искренне верят в то, что их цветок когда-нибудь «станет синим», а ICQ навсегда останется бесплатной.

Сообщения на разных языках, агитирующие за переход на новую, шестую версию ICQ-клиента, также приходят пользователям достаточно часто. Почему такие сообщения популярны у спамеров, до поры до времени оставалось непонятным. Имелись неподтвержденные данные о том, что ICQ 6.x содержит уязвимость, связанную с ошибкой обработки сообщений, сформированных определенным образом. 28 февраля 2008 года эта информация подтвердилась: согласно http://bugtraq.ru, «…отправка специально подготовленного … сообщения (в простейшем случае - "%020000000s") пользователю с установленной ICQ 6.x приводит к ошибке при формировании HTML-кода, предназначенного для отображения текста в интегрированном IE-компоненте. Данная ошибка способна привести к исполнению произвольного кода на удаленной системе». В последней сборке ICQ этой уязвимости нет(зато другие есть*).

Сообщения из рубрики «Компьютерные игры» (5,79%) можно разделить на две большие группы: первая рекламирует различные браузерные онлайн-игры, а вторая – игровые серверы, в большинстве своем для Lineage II и Counter-Strike.

Всего на треть процента от рекламы компьютерных игр отстают предложения нелегальных услуг (5,45%). Злоумышленники предлагают пользователям за определенную плату узнать пароль к нужному почтовому ящику , организовать DoS-атаку, изготовить поддельные документы (как российские, так и зарубежные), обучиться кардингу или приобрести необходимую для него информацию.(и иногда они таки выполняют то за что платят люди :) *)

Восьмое место занимают сообщения с просьбами проголосовать за того или иного участника различных веб-конкурсов (5,28%).

На девятом месте – предложения по работе и совместному бизнесу (4,17%), на десятом – предложения компьютерных услуг, в том числе хостинга (3,22%).

Рубрика «Мобильный спам» (2,72%), которая находится в конце нашего списка, также включает в себя две группы сообщений. К первой относятся сообщения с рекламой сайтов, продающих мобильные телефоны. Кстати, зачастую цены на популярные модели там существенно ниже рыночных, что заставляет задуматься о происхождении и подлинности таких аппаратов. Во вторую группу входят сообщения, рекламирующие сайты с различным мобильным контентом.

С 23 февраля по 23 марта 2008 года в ICQ-спаме было зафиксировано не более 1% сообщений, рекламирующих лекарства или медицинские услуги.

В ICQ также иногда появляются фишинговые сообщения, которые не были выделены в отдельную группу ввиду их малого количества. Злоумышленники пытаются получить пароли к UIN’ам пользователей, используя методы социальной инженерии. Здесь успех мошенников во многом зависит от уровня информированности пользователя. Напоминаем, что, как правило, в случае каких-либо неполадок и сбоев официальная служба поддержки ICQ сообщает пользователям о проблемах, но ни в коем случае не требует отослать свой пароль на тот или иной электронный адрес или ввести его в веб-форму на сайте.

Особенности ICQ-спама

В отличие от электронной почты, в ICQ реализована возможность поиска собеседников по интересам, внесенным в контактную информацию пользователей. Это позволяет злоумышленникам производить спам-рассылки, рассчитанные на целевую аудиторию. Спамер может достаточно легко получить необходимые ему данные (в большинстве случаев это возраст и список интересов пользователей) и использовать их для привлечения внимания к рассылаемым спам-сообщениям. (а также просто запустиф спец програмку и офигачиф спамом всех*)

Практически все спам-сообщения приходят с номеров, не внесенных в контакт-лист пользователя. Количество нежелательных сообщений, получаемых пользователем в единицу времени, зависит от его ICQ-номера. На шестизначный номер в среднем приходит 15-20 нежелательных сообщений в час, причем многие их них содержат ссылки на Trojan-PSW.Win32.LdPinch. Ничем не примечательные девятизначные номера получают 10-14 таких сообщений в сутки, а «красивые» – в 2-2,5 раза больше.

Тематический состав ICQ-спама значительно отличается от тематики спама в электронной почте. Если в e-mail около 90% спам-сообщений рекламируют различные товары и услуги, то в ICQ на долю таких предложений приходится менее 13% (суммарный процент рубрик «Нелегальные услуги», «Компьютерные услуги», «Мобильный спам», «Медицинский спам»), причем чаще всего (5,45%) предлагаются нелегальные сервисы.

В целом для спама в ICQ характерна развлекательная направленность, что вполне логично: этот канал связи, как правило, не используется для бизнес-коммуникаций, а львиную долю его пользователей составляют молодые люди. Спамеры учитывают специфику аудитории: в ICQ доминируют предложения посетить развлекательные сайты и сообщения с рекламой «для взрослых». На молодежную аудиторию ориентирован и спам из рубрик «Компьютерные игры», «Голосования», «Мобильный спам». В целом на долю «молодежных» тематик в ICQ приходится около 50% всех спамовых сообщений.

Спецификой целевой аудитории ICQ-спама обусловлена и малая доля сообщений «медицинской» тематики. Напомним, что в почтовом спаме они традиционно лидируют, а в нашем списке занимают последнее место с долевым показателем менее 1%. Вероятно, реклама медицинских товаров и услуг не получает необходимого отклика со стороны пользователей ICQ.

Специфические черты ICQ-спама:

1. Ориентация на молодежную аудиторию.

2. Общая развлекательная направленность.

3. Практически полное отсутствие рекламы потребительских товаров. Исключение составляют предложения о покупке мобильных телефонов и медицинских препаратов, а также небольшое количество сообщений, попавших в рубрику «Остальной спам».

4. Достаточно высокий процент (8,17%) сообщений, тематика которых связана собственно с ICQ.

5. Значимая доля (5,45%) сообщений от лиц, предлагающих криминальные услуги. Наиболее популярные предложения: взлом почты и ICQ, изготовление поддельных документов, кардинг.

Сценарий атаки

Пользователь запустил файл по ссылке, полученной по ICQ, а долгожданная фотография на его мониторе так и не появилась. Он ждет минуту, две, а в это время троянец уже прошелся по папкам его компьютера в поисках паролей. Кое-где они хранились в зашифрованном виде, что никоим образом не мешает злоумышленнику в дальнейшем их расшифровать. Затем троянец, собрав список паролей, создает письмо, в котором размещает добытую им конфиденциальную информацию, и отправляет его на адрес злоумышленника, который тот зарегистрировал за пару дней до атаки. Чтобы встроенный в операционную систему файервол не предупредил пользователя об опасности, троянец выводит его из игры, изменив соответствующий ключ в реестре. Точно так же вредоносный код поступает с другими программами, способными помешать ему воровать у пользователя пароли и прочую важную информацию. В конце концов, вредоносная программа создает bat-файл, который стирает троянца и самого себя, уничтожая таким образом следы содеянного. (нет не обязательно что нужно тот уже получил таки*)

Хакер обрабатывает десятки или сотни (в зависимости от масштабов рассылки) писем с паролями, которые прислал ему троянец, в то время как пользователь только начинает догадываться о том, что его обманули. Кстати, он с тем же успехом может остаться в полном неведении о произошедшем. В любом случае, на руках у пользователя остается всего одна зацепка – ссылка на «фотографию», поэтому шансы вычислить злоумышленника весьма невелики.

«У меня на компьютере все равно ничего важного не было», – успокаивает себя обманутый пользователь. Хакер, между тем, придерживается совершенно иного мнения. У него теперь есть внушительный список паролей: почтовый пароль, пароль к FTP-клиенту и онлайн-играм, банковские аккаунты пользователя и, кстати, его пароль к самой ICQ.

Спрашивается, зачем хакеру может понадобиться еще один никому не известный девятизначный номер? А вот зачем: хакер введет полученный пароль в свой клиент, получит доступ к контакт-листу обманутого пользователя и разошлет его знакомым сообщение следующего содержания: «Привет! Слушай, Петя (Ваня, Саня и т.д.), не одолжишь ли мне срочно до завтра 50 электронных баксов?!?!» Дальнейшее зависит от щедрости Пети и от того, каковы его отношения с обманутым пользователем. Зачастую уговорить колеблющегося Петю оказывается совсем несложно. Параллельно хакер будет упрашивать Ваню и Саню. Время играет против него, поэтому злоумышленник постарается не пускаться в длинные разговоры. Даже если только один человек из контакт-листа каждого зараженного пользователя согласится перевести хакеру виртуальные доллары, то за какой-то час общения он получит приличную сумму денег, сравнимую с дневным окладом хорошего программиста.

А FTP-аккаунт? Что будет, если на FTP-сервере, к которому злоумышленник получил доступ с помощью украденного пароля, хранятся web-страницы какого-нибудь достаточно популярного сайта? У преступника появится возможность дописать в конец каждой web-страницы простой iframe или зашифрованный JavaScript, который будет скрытно загружать и запускать на выполнение ту или иную вредоносную программу на компьютерах всех пользователей, посетивших данный web-сайт.

Все перечисленные выше действия хакера легко ставятся на поток. Злоумышленник может почерпнуть адреса ICQ для спам-рассылки на многочисленных сайтах знакомств и форумах. Вернее, это сделает не сам злоумышленник, а специальная программа, которая выполнит за него всю черную работу, в том числе отсеет дубликаты номеров и проверит спам-лист на активность. Затем хакер разместит на бесплатном хостинге троянца и разошлет ссылку на него по созданному спам-листу. После этого предварительно написанная программа отсортирует ворох писем, присланных запущенными троянцами, и разложит украденные пароли по категориям. Список новых ICQ-номеров, полученных от троянца, превратится в еще один спам-лист. Если номер ICQ зараженного пользователя окажется «красивым», его можно будет продать за немалые деньги (примерные цены уже были представлены*). И конечный этап – рассылка сообщений с максимально убедительными просьбами одолжить немного денег (нах это уж статья проще аськи продать*). Если ответ на такую просьбу получен, в игру вступает сам хакер, используя свои познания в психологии и методах социальной инженерии. После всего этого оптовую партию «угнанных» номеров можно продать спамерам. На первый взгляд все описанное выше может показаться вымыслом, но, как показывает практика, подобные махинации осуществляются постоянно.

Резюмируя все вышесказанное, перечислим цели, которые преследуют злоумышленники, атакуя IM-клиенты:

1. Продажа краденых ICQ-номеров (оптовых партий девятизначных номеров и штучных «красивых» номеров).

2. Создание спам-листов для продажи их спамерам или для осуществления массовых рассылок вредоносных программ.

3. Использование контакт-листов украденных номеров в качестве доверенных источников для «заема» денег.

4. Загрузка вредоносного программного обеспечения через уязвимости.

5. Кража паролей к FTP-серверам с целью изменения web-страниц легальных сайтов для дальнейшей загрузки вредоносного программного обеспечения на компьютеры посетителей.

6. Создание ботнетов или расширение уже существующих зомби-сетей.

7. Прочая вредоносная деятельность.

Методы противодействия злоумышленникам в IM

Что же делать пользователю, против которого действует столь умная и беспощадная система? Конечно же, защищаться! Вот несколько полезных советов, которые помогут противостоять угрозам, распространяемым через IM-клиенты.

Прежде всего, пользователю необходимо быть внимательным и не кликать бездумно по ссылке в полученом сообщении. Ниже приведены несколько типов сообщений, которые должны вызывать у получателя опасения:

1. Сообщение, пришедшее от неизвестного пользователя со странным ником (например, SbawpathzsoipbuO).

2. Сообщение от пользователя, включенного в ваш контакт-лист, с подозрительным предложением просмотреть новые фотографии с расширением .exe.(.bat, scr и др и пр*)

3. Сообщение, якобы содержащее сенсационную новость о связи двух знаменитостей, с репортажем «прямо с места событий». «Репортажем» в данном случае чаще всего является ссылка на файл http://www.******.com/movie.avi.exe. А по ссылке, скорее всего, находится Trojan-PSW.Win32.LdPinch.

4. Сообщение с предложением скачать программу, открывающую перед пользователем невиданные горизонты, например: «НОВЫЙ БАГ в ICQ, с помощью которого можно регистрировать любой несуществующий номер». По ссылке, которая приведена в таком сообщении, будет находиться какая-нибудь программа, ворующая пароли от UIN’ов незадачливых пользователей.

Такие сообщения лучше всего игнорировать.

Если сообщение пришло от знакомого пользователя, следует уточнить, посылал ли он это сообщение на самом деле. И, разумеется, не стоит загружать на свой компьютер файл с расширением .exe по присланной вам ссылке и запускать его. Даже если расширение файла не указано, по ссылке вы можете попасть на сайт, который перенаправит вас на другую ссылку, содержащую вредоносное ПО.

Разумеется, всем пользователям надо соблюдать элементарные правила «компьютерной гигиены»: на компьютере должен быть установлен антивирус с обновленными базами и файервол, блокирующий несанкционированный доступ в Сеть. Желательно, чтобы в антивирусе были реализованы такие технологии, как эвристический анализатор и/или проактивная защита, которая позволяет определять неизвестные вредоносные программы, анализируя их поведение.

Зачастую пользователь может даже и не знать, что на его компьютере отработала вредоносная программа. Указать на то, что ПК был заражен, могут странные вопросы знакомых, например: «Зачем ты вчера просил у меня 50 WMZ, когда мы говорили по ICQ?», хотя подобного разговора между настоящим владельцем номера и его знакомым не было. Еще более явно на заражение указывают безуспешные попытки воспользоваться своим логином и паролем от того или иного сервиса. Это свидетельствует о том, что пароль был изменен – либо официальным поставщиком тех или иных услуг, либо злоумышленником. В первом случае пользователь гарантировано получит новый пароль или уведомление о его замене по почте или иным способом. Во втором случае ничего подобного, разумеется, не произойдет.

Что делать, если троянец уже сделал свое черное дело и успел себя удалить? Для начала стоит удостовериться, что компьютер действительно чист, проверив его антивирусом. Далее рекомендуется по возможности сменить все пароли, которые троянец мог украсть. Для этого необходимо вспомнить, в каких программах использовались пароли, и попробовать их ввести. Если попытка увенчалась успехом, пароль нужно сразу же сменить. Имеет смысл разослать всем пользователям из контакт-листа IM-клиента сообщение с соответствующим предупреждением и призывом не откликаться на возможную просьбу дать деньги взаймы, разосланную от вашего имени по IM, и уж тем более не пытаться посмотреть фотографии по присланной якобы вами ссылке.

Установка последней версии ICQ, загруженной с официального сайта, поможет предотвратить выполнение произвольного кода в системе из-за уязвимости в ICQ 6.x, связанной с обработкой HTML-кода.

Для защиты от ICQ-спама пользователям рекомендуется выполнять следующие действия. Учитывая, что у спамеров есть возможность проверить ICQ-статус пользователя с web-сайта, имеет смысл запретить в клиенте такую возможность для вашего номера. Спам-рассылка рассчитана на пользователей, постоянно общающихся в ICQ или просто находящихся в онлайне. Поэтому лучше всего по возможности оставаться в невидимом режиме. Однако не стоит забывать о том, что есть программы, которые могут сообщать другим пользователям, действительно ли вы находитесь в оффлайне, или это всего лишь невидимый статус. В данной ситуации вам может помочь антиспам-бот – простейший модуль, который поддерживают некоторые IM-клиенты (например, QIP).

Каков же принцип работы антиспам-бота? Допустим, с вами хочет пообщаться пользователь, не внесенный в ваш контакт-лист. Для того чтобы отправить вам сообщение и начать разговор, ему придется ответить на вопрос. До тех пор, пока ответ не будет дан, он не сможет ничего написать. При этом желательно использовать вопросы, ответы на которые всем известны, например: «Сколько будет 2+2*2?» или: «Название нашей планеты». Если пользователь напишет соответственно «6» или «Земля» и отошлет это сообщение, ему будет разрешено вам писать. Такая защита достаточно успешно противостоит различным ботам, рассылающим спам, однако есть вероятность, что некоторые из них достаточно интеллектуальны для того, чтобы отвечать на самые популярные вопросы – например, на те, что стоят в защитных модулях по умолчанию.

Заключение

Как уже было сказано, программы для мгновенного обмена сообщениями весьма привлекательны для различного рода злоумышленников, в связи с чем проблема распространения вредоносного ПО через IM-клиенты стоит достаточно остро. Новые версии клиентов содержат неизвестные до поры до времени уязвимости, которые могут быть обнаружены сначала хакерами, и только потом – создателями программы. Такие ситуации чреваты массовыми эпидемиями. Кроме того, многих пользователей беспокоят нежелательные сообщения (IM-спам).

Специфических средств защиты IM-клиентов на данный момент не существует, однако соблюдение элементарных правил «компьютерной гигиены», правильно настроенный антиспам-бот, а также внимательность и благоразумие позволяют пользователям успешно противостоять интернет-мошенникам и спокойно наслаждаться общением в Сети.

(а ежели хотите встать на путь тьмы юные падаваны то юзайте гугл и будет вам счастье*)

Авторы Денис Масленников
Борис Ямпольский (версия укороченная иногда мной коментированая в скобочках и помеченная *)

Отредактировано Ляхтырдым (2008-06-12 13:51)

0


Вы здесь » Форум общения и хорошего настроения » Устаревшие темы » Как снизить вероятнось вирусного заражения.