Hogyan vinlokery hírek és vélemények

Mindannyiunknak szembesül mindenféle SMS-blokkolók, ha nem csak a számítógépen, majd a barátok gépek. Ezek a dolgok aligha nevezhető vírusok, de ők is szállít a sok bajt.

Ma megpróbáljuk tanulmányozni a trükköket cyber-csalás, amelyet használni az elválasztás a lakosság becsületesen megkeresett pénzt.

A rögzítő rendszer

Képzeljük el, hogy egy gonosz malware behatolt a rendszerbe. Naiv felhasználó letölteni és futtatni egy rosszindulatú exe'shnik, amelyet először rögzítse egy „normális” munkát. Ehhez a program regisztrálnia kell magát, hogy az automatikus indítás a Windows. Sok jól tudják, mit és hol felelős dob elején a kedvenc OS, de még mindig újra kiírja lehetőségeket.

Startup mappában ismert, hogy minden felhasználó. Minden tartalom látható a Windows főmenüben fizikailag ezek találhatók a felhasználó profilját, például C: \ Documents and Settings \ admin \ Start Menu \ Programs \ Startup \. Természetesen, hanem a rendszergazda, akkor helyettesítheti «All Users és Default User».

Mindenféle rosszindulatú dolgok ritkán használják ezt a helyet elindítása, mert még tapasztalatlan felhasználók talál idegen fájlokat ezekben a könyvtárakban. Azonban, mint egy további garanciája a sikeres dob a hely elég baj, hogy a nem kell kerülni, ha keres malware a fertőzött számítógépen.

Rendszerfájlok a listából indítási programok örökölt modern operációs rendszer Windows 9x több rokonaik - a 98. és 95. a Windows. Az első ilyen fájl - ez a Win.ini, amelyben van egy rész [Windows], ami viszont, tartalmazhat egy olyan belépési «run = zapuskaemaya_programma”. Van is egy fájlt system.ini, az [driver32], amely szükséges, hogy ellenőrizze a rendelkezésre álló paraméter típus „nazvanie_drayvera.

Amellett, hogy a jól ismert kulcs HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ és HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ azok testvérek egy menetben RunOnce, vannak mindenféle registry ágakat, amelyek a program indulhat.

Például, ha használja az IE, és hirtelen elkezdett furcsán viselkedik (mutatja meztelen tetenek vagy nyitott furcsa honlapok), meg kell keresni itt:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \.

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit \,

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Értesítést \.

Ezek a kulcsok járassuk a különböző végrehajtható fájlokat (normál exe, programokat, szolgáltatásokat vagy dll).

Egyébként az utolsó kulcsot a felhasználó betölti a DLL explorer.exe, ami azt jelenti, hogy a kártevő kódját akkor is működik, csökkentett módban.

Meg kell figyelni, hogy a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ Imya_progammy \ - Imya_progammy elindítása lesz a szoftver futtatásához megadott Debugger-paramétert. Tovább trükkös malware használhatja fájltársításait a rendszerleíró adatbázisban.

Azaz, ha fut, például txt-fájl, akkor indul el először malware, hogy csak akkor indul az igazi program, amely együttműködik az ilyen típusú fájlokat. A vírus boot a számítógép memóriájában csoportházirend segítségével. Mert a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run. amely lehetőséget a programok futtatására módon.

Általában azokat a helyeket, ahol meg lehet kezdeni, hogy a számítógépen az SMS-blokkoló vagy egyéb fertőzés, sokat, de nézd meg őket éppen elég (ha nem speciális maszkoló technikákat alkalmaznak), különösen akkor, ha speciális eszközökkel, például közüzemi Hijackthis.

védekező redoubts

Azt kell mondanom, hogy Froud-anti-vírus, amely sokkal inkább a nyugati, alig használ ilyen trükköket. Azaz, ha a belföldi SMS Blocker teljesen megbénítja a számítógép, az angol nyelvű malware nem csinál. Ennek oka az, hogy ugyanez a törvények az állam az ilyen tréfák közé sokkal szigorúbb. Ezen túlmenően, a helyi lakosok nem fizetnek az elektronikus szolgáltatások esetében a szöveges üzenetek, az, hogy van egy bankkártya, és mint tudjuk, a Visa és a MasterCard nagyon féltékenyen rendet tartani az ügyfelek körében. Egy dühös panaszt a gyanútlan felhasználó - és számlázási, fizetési feldolgozó vezetésére csalás Antivirus, elveszíthetik engedélyt véglegesen.

Az első közülük - DisableRegistryTools. Ha kijelöl egy értéket 1, a regedit.exe nem indul. A másik az, hogy figyelni, hogy a paraméter DisableRegedit, amely lehet amellett, hogy a HKCU-szakasz, majd egy másik - HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. Letiltani startup "Task Manager" opciót használjuk DisableTaskMgr a HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. Természetesen a kártevő megtilthatja a dob bizonyos programokat. Ez úgy történik, ismét át a biztonsági politika. Ha a kulcs HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer lesz RestrictRun paraméter értékkel egyenlő eggyel, és az is csatlakozik RestrictRun, amely tartalmaz egy listát az exe-fájl, a felhasználó csak akkor jelenhetnek meg a programokat, amelyek ezen listát.

A fekete lista kell használni, és a legfontosabb paraméter DisallowRun, amelyen keresztül fut bizonyos szoftverek lehetetlenné válik. Még ez kényszerek halmaza teszi a rosszindulatú programok is elég jó, hogy megvédjék magukat a támadásoktól az életét. Még ha megpróbál, hogy megpróbálja futtatni a nem szabványos eszközök folyamat nyomon követése és a rendszerleíró adatbázis szerkesztése, akkor lehet blokkolni a DisallowRun vagy RestrictRun. És ez nem az egyetlen módja, hogy megakadályozzák a dob valamit a fertőzött rendszert! Például kártevő pereassotsiirovat dob ​​programok írásával a saját test az alapértelmezett beállítás a kulcsot HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command.

Vagy játszani alkulcsok HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options. De, sajnos, a fenti módszerek nem korlátozódnak malware. Az alkotók utódaik gátolhatja egyes asztali beállítások, kijelző beállítások fájl a Windows Intézőben, és így tovább. De ez nézzük meg együtt az alábbi megsértése Internet teljesítményt, mert ezek a trükkök inkább a felhasználó számára a megfélemlítés, ahelyett, hogy megvédje a malware.

A hatás a felhasználó

A fő feladata a kártékony programokat - is csábítják a felhasználó egy bizonyos összeget. Ez a probléma, hogy bizonyos mértékig lehet nevezni akár kreatív - annyira félt a felhasználót, hogy ez nem nagyon megbánta a vér, ő küldött szöveges üzenet, és még mindig nem döntött a saját megszabadulni a malware. Ezért malware fejlesztők közé a fantáziádat, hogy a legteljesebb. A banális és a közös technika befolyásolja a felhasználó - ez neubivaem ablakot. Ez nem lehet bezárni, nem lehet minimalizálni, lóg a tetején az összes többi ablak az asztalon, és bizonyos esetekben még monopolhelyzetben bemenet fókusza.

Ahhoz, hogy egy ilyen hatás egy pillanat, és a szokásos Windows-eszközök. Az API-függvénye a CreateWindowEx felelős ablakok létrehozását, hogy van egy csomó lehetőség, amelyek közül dwExStyle és dwStyle, amely lehetővé teszi a programozók csalók, hogy elérjék a kívánt hatást. Például, átadva a funkciója, mint az első érvet WS_EX_TOPMOST érték, akkor az ablak mindig megjelenik a tetején az összes többi ablak, amelyek nem rendelkeznek ezzel a jellemzővel, és akkor kap játszani dwStyle hiányában ellenőrzések a címsort, vagy akár megszabadulni ezt a címet.

SMS Blocker ablakot nem lehet zárt, jellemzően elfogják WM_CLOSE üzenetkezelő eltávolítjuk a szabványos ablak záró kódot. Általában ezeket az üzeneteket, meg tudod csinálni egy csomó érdekes dolgot. Például, malware tud kezelni WM_MOUSELEAVE, és ha az egér elhagyja az ügyféltérben, vissza vissza. Okosabb, mint a programozó, annál olyan trükköket tud gondolni.

De csak egy dolog általában mindenütt jelen ablak nem korlátozott. Vannak például tárgyakat, módosíthatja a háttérképet az asztalon. Tipikusan ilyen trükk által használt anti-vírus szoftver-hamisítás. Az asztalon van valami, mint egy kitűzőt a vegyi fegyverek és fenyegető feliratot, és ha rákattint egy üres hely a képernyő megnyitja az online oldalon egy javaslatot vásárolni „hasznos” szoftver. Ez úgy történik, egészen egyszerűen nem kerékpárok kitalálni nem szükséges - a Windows elfelejtette az összes lehetőséget, hogy megjelenítse az asztalon egy bizonyos weboldal - minden következményével.

Használat és kifinomultabb módon. Például WMI felületek lehetővé teszik az alkalmazások értesítjük, ha elindítja a folyamatot (és valóban sok minden más lemezkép). A kártékony programok nyomon WMI folyamatok listáját fut a rendszer, és egy új alkalmazás indul, hogy bizonyos műveleteket, például, hogy közel egy újonnan létrehozott folyamat, és üzenetet jelenít örömteli hívást fizetni, és békésen aludni. Nagyon gyakran lehet kezelni azt a tényt, hogy az internet böngésző nem hajlandó megjeleníteni néhány a World Wide Web, például weboldalak antivírus cégek vagy a keresőmotorok. Nem nehéz kitalálni, hogy ez azért van, hogy az áldozat a lehető legtovább tapasztalt cselekvési programok ellen. Ilyen mocsok lehet csomó különböző módon.

Gyakran előfordul, hogy szinte lehetetlen (abban az esetben nagy oldalak, mint a Yandex, Google, és mások), így módosítja a routing gonosz kódolók gyakran egyszerűen levágta az internet-felhasználó nem zavarta szelektív zár. A házigazdák és a proxy is szervezni egy egyszerű adathalász helyett az eredeti oldalon nagyon hasonló. Mint lehetőség - egyszerűen megjeleníti egy nagy piros betűkkel megjelenik a „SMS küldése”. Persze, cserélje ki a lap lehet nem csak a szerver oldalon, hanem helyben, a kedvenc kiterjesztéseket böngészők. Például, az IE - széles körben ismert BHO. Észrevétlenül a bővítmény telepítésével, akkor rugalmasan képes kezelni a tartalmát a megjelenített weboldalt. Például Froud-Virus helyettesítheti a „rossz” egy linket a keresőmotor eredményeit, mint mindig, ha beírja a nevét ilyen szoftver a Google, az első kapcsolat az utasítást, hogy hogyan lehet megszabadulni a szoftver.

következtetés

Ebben a cikkben, adtunk egy korántsem teljes lista a mutatványokat és trükköket, hogy a modern zlovredymoshenniki. Jeladók estek át a sötét oldalra, folyamatosan jön az új trükkök és módszerek hatása törvénytisztelő felhasználók a hálózat. De legalább egy kis ötlet, hogy mi és hogyan működik a hírhedt SMSbloker lehet foglalkozni vele. De ez a harc volt a lehető legkíméletesebb módon, erősen tanácsolom mindenkinek, kivéve a meredek anti-vírus fiók használatával korlátozott jogokkal, mint a Linux és MacOS-vírussal pontosan azért, mert nem ül root.

Kapcsolódó cikkek