Всеки от нас се сблъсква с всички видове SMS-блокери, ако не и на вашия компютър, а след това на приятелите машини. Тези неща едва ли може да се нарече вируси, но те също така предоставят много неприятности.
Днес ние ще се опитаме да учат трикове на кибер-измами, които те използват, за отбиване на населението честно спечелените пари.
Фиксирането система
Представете си, че едно зло зловреден софтуер е проникнала в системата. Наивно потребител, за да изтеглите и стартирате злонамерен exe'shnik които първо трябва да се осигури "нормално" на работни места. За да направите това, програмата трябва да се регистрира, за да се стартира автоматично с Windows. Много от тях са наясно с какво и къде е отговорен за стартирането в началото на любимия ни OS, но аз все още отново ще се покаже списък с опции.
Startup папка е известно, че всеки потребител. Цялото съдържание може да се види в главното меню на Windows, физически се намират в потребителските профили, например, C: \ Documents и Settings \ администратор \ менюто Start \ Programs \ Startup \. Разбира се, вместо администратор, можете да заместите «всички потребители и по подразбиране на потребителя».
Всички видове злонамерени неща рядко използват това място за старта си, защото дори неопитни потребители могат да намерят външни файлове в тези директории. Въпреки това, като допълнителна гаранция за успешния старт на това място е доста нередно, така че не трябва да се избягва това, когато търсят зловреден софтуер на заразения компютър.
Системните файлове от списъка на стартиране на програми, наследени модерна операционна система Windows 9x повече от техните роднини, - 98-ия и 95-то на Windows. Първият подобен файл - това е най-Win.ini, в който има раздел за [дограма], което, от своя страна, може да има запис «тече = zapuskaemaya_programma". Има и файл system.ini, в секция [driver32], което е необходимо да се провери наличието на "nazvanie_drayvera типа параметър.
В допълнение към добре познатия ключ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ и HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ заедно с братята си за един-единствен план RunOnce, има всички видове регистър клона, от които програмата може да започне.
Например, ако използвате IE, и тя изведнъж започна да се държи странно (показване гола tetenek или открити странни сайтове), трябва да погледнете тук:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit \,
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Уведоми \.
Тези ключове в регистъра позволяват да стартирате различни изпълними файлове (нормален Търсейки, програми, услуги или DLL).
Между другото, последния клавиш потребителят зарежда DLL да explorer.exe, което означава, че кодът на зловреден софтуер ще работи дори и в Safe Mode.
Необходимо е да се обърне внимание на HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Изпълнението Опции \ Imya_progammy \ - Imya_progammy при пускането на пазара ще се изпълнява софтуера като параметър от Debugger низ. Друг сложен зловреден софтуер може да се използва на файловите асоциации в системния регистър.
Това е, когато стартирате, например, TXT файл, ще започне първата зловредният софтуер, който едва след това ще започне същинската програма, която работи с този тип файлове. Вирусът също така може да се стартира в паметта на компютъра ви, като използвате Group Policy. Защото е в ключов HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run. който съдържа опции за стартиране на програми начини.
Като цяло, на местата, където можете да започнете да получавате на вашия компютър SMS-блокер или друга инфекция, много, но ги провери достатъчно точно (ако не се използват специални техники за маскиране), особено ако използвате специализирани инструменти като комунални HijackThis.
отбранителни редути
Аз трябва да кажа, че Froud-анти-вирус, които са по-ориентирани на запад, едва ли използват такива трикове. Това означава, че ако нашият вътрешен SMS Blocker може напълно да парализира компютъра, на английски език зловреден софтуер на не прави. Причината за това е вероятно, че едни и същи закони на държавата на такива шеги са много по-строги. Освен това, местните жители не плащат за електронни услуги на текстови съобщения, за които те имат банкова карта и, както знаем, Visa и MasterCard са много ревниво пазят реда сред своите клиенти. Един гневен оплакване от нищо неподозиращия потребител - и фактуриране, обработка на плащания за провеждане на измамите Antivirus, може да загуби лиценза си за постоянно.
Първият от тях - DisableRegistryTools. Ако задавате стойност 1, на regedit.exe няма да започне. Друго е да се обърне внимание на DisableRegedit на параметъра, които могат да бъдат в допълнение към HKCU сечение и след това още един - HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. За да изключите стартиране опция "Task Manager" се използва DisableTaskMgr в HKCU \ Software \ Microsoft \ \ CurrentVersion \ Policies \ System Windows. Разбира се, зловредният софтуер може да забрани пускането на някои програми. Това се прави, отново чрез политиката за сигурност. Ако ключовата HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer ще има параметър RestrictRun със стойност, равна на една, а също така е свързан RestrictRun, който съдържа списък с Търсейки-файл, потребителят може да работи само на програмите, които са в тази списък.
За черния списък трябва да се използва и за ключов параметър DisallowRun, през които тече определен софтуер ще стане невъзможно. Дори и този набор от ограничения позволява на зловредния софтуер е достатъчно добър, за да се предпазят от нападения срещу живота му. Дори и ако се опитате да се опитате да стартирате нестандартни инструменти за наблюдение на процеса и редактирането на системния регистър, а след това те могат да бъдат блокирани от DisallowRun или RestrictRun. И това не е единственият начин да се предотврати пускането на нещо в заразената система! Например, зловреден софтуер може да pereassotsiirovat прокарване на програми за писане от собственото си тяло към настройката по подразбиране за ключ HKEY_CLASSES_ROOT \ exefile \ черупка \ отворен \ команда.
Или играе с подклавиши в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Опции за изпълнение на графичните файлове. Но, за съжаление, по-горе методи не са ограничени до зловреден софтуер. Създателите на тяхното потомство може да блокира някои настройки на работния плот, настройките на дисплея подават в Windows Explorer, и така нататък. Но това ще разгледаме по-долу, заедно с нарушение на изпълнение Интернет, тъй като всички тези трикове са повече за потребителя на сплашване, а не за защита на зловреден софтуер.
Въздействието върху потребителя
Основната задача на престъпен - е да примами потребителя определена сума пари. Този проблем до известна степен може да се нарече дори творчески - да е толкова страх от потребителя, така че да не се много съжаляваше кръвта му, той изпраща текстово съобщение и все още не са решили сами по себе си да се отърве от зловреден софтуер. Ето защо, злонамерен софтуер разработчици включват въображението си в пълна степен. Най-банална и обща техника, за да повлияе на потребителя - това neubivaem прозорец. Това не може да се затвори, не може да бъде сведена до минимум, той виси на върха на всички други прозорци на работния плот, а в някои случаи дори има монопол вход фокус.
За да се постигне такъв ефект е модула, както и с помощта на стандартни инструменти на Windows. В API-функцията на CreateWindowEx, отговорен за създаването на прозорци, има много опции, сред които dwExStyle и dwStyle, което позволява на програмистите да измамниците да се постигне желания ефект. Така например, преминаване на функцията като първата стойност аргумент WS_EX_TOPMOST, ние ще направим прозореца винаги се появи на върха на всички други прозорци, които не разполагат с този атрибут, и можете да получите играе dwStyle отсъствие на всякакъв контрол в заглавната лента, или дори да се отърва от това заглавие.
За прозорец SMS Blocker не може да се затвори, обикновено се намеси WM_CLOSE съобщение манипулатор е отстранен от стандартен прозорец затваряне код. Като цяло, с тези съобщения, можете да направите много интересни неща. Например, зловреден софтуер може да се справи WM_MOUSELEAVE и ако мишката напусне зоната на клиент, за да я върне обратно. По-умни от програмист, толкова повече никакви трикове, че може да се сетиш.
Но само едно нещо, обикновено е вездесъщ прозорец не се ограничава. Има, например, предмети, които се променят на тапета на работния плот. Обикновено такъв трик използва от антивирусен софтуер с фалшифицирането. На работния плот има нещо като емблема на химически оръжия и заплашително надпис, и когато щракнете върху празно място на екрана се отваря онлайн страницата с предложение да купи "полезни" софтуер. Това се прави просто, без велосипеди, за да не измислят необходими - Windows е забравил всичко възможност за показване на вашия работен плот на определена уеб страница - с всички произтичащи от това последици.
Използване и по-рафинирани начини. Например, WMI интерфейси позволяват на приложенията да бъдат уведомени, когато започва процеса (и наистина много друга дискови изображения). Malware може да наблюдава с помощта на WMI списък на процесите, протичащи в системата, както и ново заявление започва да изпълнява определени действия, например, за да затворите новосъздадено процес и ще покаже съобщение с радостен призив да плати и спокоен сън. Много често можете да се справят с факта, че интернет браузъра отказва да покаже някои от World Wide Web, например, уеб сайтове на антивирусни компании или търсачките. Не е трудно да се отгатне, че това се прави, за да жертва толкова дълго, колкото е възможно с опит действието на зловреден софтуер. Уверете се, такава мръсотия консерва куп различни начини.
Често, че е практически невъзможно (в случай на големи сайтове като Yandex, Google, и други), така и чрез промяна на маршрутизирането зли програмисти често просто отрязани Интернет потребителят не е направил труда със селективно заключване. С хостове и прокси дори може да организира една проста фишинг, подмяна на оригиналната страница, много сходни. Като опция - просто показва големи червени букви съобщението "Изпрати SMS". Разбира се, на мястото на страницата, може да бъде не само от страна на сървъра, но също така и на местно ниво, като се използват всички ваши любими разширения за браузъри. Например, в IE - това е широко известен BHO. Незабелязано, като инсталирате това разширение гъвкаво да управлявате съдържанието на показаната уеб страница. Например, Froud-Virus може да замени "лошия" за връзка към резултатите от търсенето, както обикновено, ако сте написали името на такъв софтуер в Google, първата връзка е инструкцията за това как да се отървете от този софтуер.
заключение
В тази статия, след като дадохме далеч от пълния списък с каскади и трикове, които използват модерна zlovredymoshenniki. Енкодери, които са паднали на тъмната страна, постоянно идва с нови трикове и методи за влияние върху спазващи закона потребители на мрежата. Но има поне малка представа за това какво и как скандалната SMSbloker може да се наложи да се справят с него. Но тази битка е толкова безболезнено, колкото е възможно, аз силно препоръчваме на всички с изключение на стръмен анти-вирус, използвайки профил, с ограничени права, както и в Linux и MacOS вирус-точно защото там не се седи като корен.
Свързани статии