Как крадут мыло и асю. Способы защиты.
Тема: Безопасность
Люди ведущие активый образ жизни в инете пользуются определённым набором сервисов, доступ к которым получают из браузера или иных программ. Пароли хранятся в реестре.
Туда-то первым делом и щемится популярный троян Пинч (от англ. Pinch - вытягивать). Если вы инфицировали свою машину запустив exe с приклееным трояном, вся ваша информция, сохранёная в браузере (пароли от мыл, ЯДов, форумов, кредиток) отправляется злоумышленнику на мыло.
А как же антивирусы спросите вы?
автор Пинча постоянно переписывает трояна, пряча его от наиболее распространнёных антивирусов, гарантируя работу трояна.
Ещё хуже вариант когда троян отправляет ваши данные на специальный php-скрипт, который складирует так называемые логи (файлы с паролями с инфицированых компов) в указаную хакером папочку на серваке. Логи можно просмотреть только с помощью специальной программы. В этом случае антивирусы в течении длительного времени не видят переписаного трояна.
Сервис угона инфы (и её продажи) организован на уровне. Один клик и вы лишаетесь всего. Потом вы обнаруживаете, что в вашем ящике кто-то побывал, снял деньги, развёл кого-то от вашего имени в аське и т.п.
Как обнаружить трояна.
Искать в процессах нет смысла, т.к. троян прячется в процессе csrss.exe, отвечающем за функции рабочего стола. Косвенный признак инфецкции ненормально высокая загрузка ЦП указанным процессом и наличие файлика svchost.exe не там, где ему полагается (в папке c:/windows/system32) а в разных местах вроде c:/windows или любых иных.
Как защититься.
Первое и самое главное. Никогда не запускать из инета файлы с расширением exe, будь то флэшка или любой другой исполняемый файл даже если это прислал проверенный человек. Трояна не видят самые популярные антивирусы (Kaspersky, NOD, DrWeb), троян приклеивается специальной программой к любому exe файлу (игра, последняя версия популярной программы, кряк или ещё бог весть что) а потом криптуется, так что можете хоть запроверяться, антивирус будет тупо молчать.
Есть и хорошая новость: трояна видят другие мало распространённые антивирусы. Проверить файло на наличие приклееного трояна можно на http://virustotal.com. если хотя бы один из 16 антивирусов обнаружит малейшее подозрение можете быть уверены: в файле спрятан троян.
Второй шаг - фаервол. Даже если троян уже в системе, фаер может запретить трояну отсылать украденую информацию. Не стоит, однако надеяться, что фаервол сделает всё сам. В трояне предусмотрена функция выдачи разрешения трояну на соединение с удалённым хостом, поэтому фаервол должен всегда стоять не в режиме обучения, а в режиме блокировки всех неизвестных соединений.
Автор: akridiy
Адрес статьи wwwbigrubl.biz/modules.php?name=News&file=article&sid=166
