Как защитить систему от троянов
Автор статьи - Алексей Смоляков (Москва)
Данная статья написана на основе реальных событий и предназначена, прежде всего, для активных пользователей платежной системы WEBMONEY. А в особенности - начинающим пользователям этой платежной системы. Основной вопрос, который будет рассмотрен в данной статье - вопрос безопасности при работе с платежной системой WEBMONEY.
Итак, все по порядку. Совсем недавно я устовил себе на компьютер Webmoney Keeper - программу для работы с платежной системой WEBMONEY. С самого начала я, ошибочно, не серьезно отнесся к вопросам безопасности при работе с данной платежной системой. И, как выяснилось в последствии - очень даже напрасно. Все было хорошо - деньги поступали на мой счет, я оплачивал различные товары и услуги и вдруг, в один "прекрасный" день я просто не смог зайти в свой аккаунт. Система упорно не пускала меня, не принимая пароля... Я был очень удивлен. Написав письмо в службу поддержки платежной системы Webmoney, указав при этом все свои регистрационные данные (логин, пароль, e-mail), я получил ответ, что вход в мой аккаунт был осуществлен в такое-то время и в этом же сеансе пароль был изменен... Естественно, я в такое время даже за компьютером не находился... Налицо был несанкционированный доступ к моим деньгам.
Я был просто ошарашен (это как-то очень мягко сказано). Я написал еще одно письмо в службу поддержки с просьбой восстановить доступ к моему аккаунту, при этом переслал файл ключей .kwm в качестве подтверждения принадлежности ко мне данного аккаунта. Но, оказалось все не так просто. Для данной процедуры потребовалось открывать еще один аккаунт, покупать на него сертификат и только потом выполнять процедуру восстановления доступа к взломаному аккаунту. При этом мне написали, что состояние счета на этот момент может быть совсем не такое, какое было до взлома моего аккаунта webmoney... Другими словами пока я буду чудить с открытием другого счета, получением сертификата и прочей ерунды, злоумышленник, естественно, уже перекинет все деньги куда-то на другой счет, и, как говориться - поезд ушел...
Вообщем, я решил не возиться с, бесполезным на мой взгляд, восстановлением, и решил разобраться и научиться на будущее - как защититься от взлома кошелька в платежной системе Webmoney.
Для начала, мне стало интересно каким же способом было так виртуозно совершено похищение и файла-кошелька и пароля доступа к платежной системе Webmoney. Как известно, без этих данных доступ к кошельку невозможен. Понимая, что на мой компьютер была проникнута какая-то программа, осуществившая похищение ключей и паролей к моему кошельку в webmoney, я начал искать дыры в системе безопасности своего компьютера.
Полазив по интернету и прочитав множество материалов и статей по безопасности, я ужасом обнаружил, что совершенно не занимался этим вопросом серьезно... Да, наступил на грабли, о чем очень хочу предостеречь новых пользователей. Лучше учиться на чужих ошибках...
Итак, что же произошло. Во-первых, в списке процесов (у меня Windows XP SP1) я обнаружил какой-то явно подозрительный процесс "no0017.exe". Уничтожив этот процесс я перегрузил компьютер, и, очень удивился когда обнаружил опять этот подозрительный процесс с списке задач, только на этот раз назывался он несколько иначе - "no0032.exe". Понятно, что это была таже программа только слегка изменившая имя собственного файла. Тогда я начал искать откуда же производиться автозапуск этой злосчастной программы... (Не знаю почему, но я был уверен, что именно в ней причина моих бед).
Странно, но ни в Автозагрузке, ни в списке запуска из MsConfig.exe не было ничего похожего и подозрительного... Обшарив в реестре ключи Run, Runonce, RunOnceEx (находяться здесь: HCU\Software\Microsoft\Windows\CurrentVersion\, HLM\Software\Microsoft\Windows\CurrentVersion\), файлы system.ini и win.ini из папки Windows также не обнаружил ничего лишнего и подозрительного.
На одном из форумов прочитал уникальный, на мой взгляд, способ скрытого запуска программ при загрузке операционной системы. Найдя ключ в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon я, наконец-то, нашел то, что так долго искал. Значение параметра Shell было явно источником скрытого запуска. Выглядело оно так: explorer.exe dvdrec.exe.
Никаких DVD-программ я себе никогда не устанавливал, по причине отсутствия данного устройства. Сам файл лежал в папке windows\system32\ и поэтому без проблем запускался при старте ситемы. Вот так вот просто...
Убрав лишнее (оставил только explorer.exe), я перезапустил машину. И вот, наконец-то результат - никаких подозрительных задач и процесов в списке задач. Самое интересное что ни AVP, ни DrWeb с самыми последними обновлениями своих антивирусных баз ни как не реагировали...
Теперь мне было ясно каким способом были украдены ключи и пароли доступа к платежной системе Webmoney. Следующим шагом я начал искать способ/дыру через которую мне закатали эту программу. Никаких посторонних за машиной не было, за последний месяц я ничего с внешних носителей не устанавливал и не запускал, поэтому оставался только Интернет. Прочитал о том, что многие вирусы проникают на компьютер с помощью электронной почты. Вам присылается письмо с файлом, как правило завлекательного содержания, типа: WinXPCrack, my_foto, HarryPotter и прочее. Данный вариант проникновения заразы я сразу отбросил. Пользуюсь почтовой программой The Bat, с настроенным фильтром приема почты строго с определенного e-mail адреса и строго в plain/text. Даже если и приходят какие-то вложения в письмах (а случается это крайне редко) - сразу удаляются не открываясь и не запускаясь.
Оставался способ атаки, который неоднократно описан на многих сайтах - атака через открытые порты системы. Признаться подобный способ проникновения меня сначала смутил - Windows Firewall включен. Но, Вы даже не представляете - как я был ошарашен, когда обнаружил, что данная галочка в настройках сетевого соединения была снята. Хотя я точно знаю, что включал ее. Таким образом, вирусная программа, которая проникла ко мне на компьютер еще и отключила сетевой экран, дабы преспокойно проникать на диски, собирать информацию и отсылать куда-надо.
Пробегая по истории посещеных мною сайтов за последнее время, обнаружил что как-то лазил на один из сайтов в кряками к программам (нужен был ключик к одной програмке). Думаю, даже уверен, что именно оттуда подцепил себе вирус... Почитав еще различные статьи на эту тему, выяснил для себя, что на данный момент существует множество дыр в JavaScript - это такой язык скриптов, который используется при создании web-страниц, т.е. пользователь загружает страницу и вместе с этим - загружает себе на компьютер вредоносную программу. А потом (как я) кусает локти от последствий... Видимо так произошло и со мной.
Ну а самым большим шоком для меня было обнаружение в папке temp простого текстового файла, в котором были все данные обо мне, моих паролях к разным програмам, вообщем ВСЕ... Мои логины и пароли к моему почтовому ящику на mail.ru, логин и пароль на запуск TheBat, мой ip-адрес, мои данные, указанные при установке WindowsXP, точные пути/папки расположения некоторых программ и файлов, пароль доступа к платежной системе Webmoney и сам файл ключей kwm в MIME-формате... Вообщем - все на ладони. Видимо, именно этот файл был отправлен злоумышленнику...
Пришлось быстро менять все пароли, логины ко всему. На свой ящик на mail.ru я так уже и не попал - пришлось заводить новый... Но, зато теперь я разобрался - как обезопасить свой компьютер от подобных действий: проникновение в систему, скрытый запуск программ, которые собирают все, абсолютно все данные и пароли.
Советую всем новичкам последовать моему примеру и выполнить следующие действия:
Скачать все самые последнии обновления к операционной системе с сайта Microsoft, особенно те, которые имеют статус "критические";
Поставить на компьютер нормальный Firewall. Я поставил Agnitum Outpost Firewall Pro version 2.1, скачать можно на официальном сайте, прочитать о тонкостях настройки этой программы можно на этом форуме. Встроенный в Windows Firewall можно совсем отключить за бесполезностью. (хотя на нескольких форумах о нем некоторые хорошо отзываются, но только в XPSP2...);
Позакрывать порты TCP/UDP - 135, 139, 445, 69 и 4444.
Обновить антивирусные базы своей антивирусной программы (бывает - помогает);
Отключаем расшаривание общих ресурсов. Очень странно что по умолчанию Ваши диски в системе открыты... Для этого в реестре делаем следующее:
в ключе HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters создаем (если нету) или изменяем параметр AutoShareWks (должен иметь тип - REG_DWORD) на значение 0. Предварительно ОБЯЗАТЕЛЬНО сделайте копию Вашего реестра (на всякий случай);
При просмотре сайтов пользуйтесь последней версией броузера Opera с отключенными javascript
(Файл-Быстрые настройки-убрать галочки с "Включить Java", "Включить Javascript");
Для поклонником Internet Explorer настроить в свойствах программы на вкладке Безопастность (Сервис-Свойства обозревателя-вкладка "Безопастность"-Другой):
- Установка элементов Рабочего стола - Отключить;
- Выполнять сценарии приложений Java - Отключить (можете поставить "Предлагать" и сами определять - каким сайтам это можно или нельзя);
- Разрешить операции вставки из сценария - Отключить или Предлагать (см. предыдущий пункт);
- Загрузка неподписанных элементов ActiveX - Отключить;
- Использование элементов ActiveX, не помеченных как безопастные - Отключить;
Отключите потенциально опасные службы (Пуск-Панель Управления-Администрирование-Службы):
- NetMeeting Remote Desktop Sharing;
- Telnet;
- Диспетчер сеанса справки для удаленного рабочего стола;
- Службы терминалов;
- Удаленный реестр.
Отключите учетные записи сомнительных пользователей, которым почему-то по умолчанию разрешен доступ на Ваш компьютер (Пуск-Панель Управления-Администрирование-Управление компьютеом-Локальные пользователи-Пользователи):
- HelpAssistant;
- SUPPORT_388945a0;
- проверьте - или отключена у Вас учетная запись "Гость".
Пользователям платежной системы Webmoney:
Скачать последнюю версию Webmoney Keepera с сайта Webmoney;
Установить в настройках безопастности контроль за IP-адресом. Этой настройкой доступ к Вашему кошельку будет разрешен только с Вашего IP-адреса;
Хранить файлы ключей и кошельков ТОЛЬКО НА СМЕННЫХ НОСИТЕЛЯХ. Я записал эти файлы на болванку и вставляю этот диск исключительно на время работы с платежной системой Webmoney;
Установить размер файла ключей более 100 мегабайт. Даже если кто-то и попытается украсть у Вас эти файлы - сделать это будет достаточно проблематично;
Измените расширение файла ключей с kwm на например txt. Программе Webmoney Keeper абсолютно все равно какое расширение у файла ключей, а вот воришка может обломаться когда будет искать;
В завершении несколько аксиом, чтобы избежать неприятных случаев кражи, потери важной информации:
Никогда не храните Ваши логины, пароли, номера счетов, кодовые слова и комбинации в открытом виде - в простом текстовом файле; на липкой бумажке, приклеенной к Вашему монитору, в Вашем блокноте на одной из первых страниц. По себе знаю - при определенной тренировке все эти данные можно хранить в голове - самый надежный способ. Не бойтесь потратить на это время - игра стоит свечь!
В крайнем случае запишите все данные в один файл, сожмите этот файл архиватором, задав на архив сложный пароль (как минимум из 16-ти символов, состоящих из больших и маленьких букв и цифр). Рекомендую архиватор RAR. Вскрыть такой пароль практически невозможно.
Никому не доверяйте доступ и управление Вашими конфидециальными данными, особенно доступ к платежным системам, кошелькам, счетам. В жизни всякое бывает...
Регулярно обновляйте Вашу операционную систему на предмет безопастности. Как правило, это заплатки с сайта Microsoft.
Не забывайте скачивать последние базы к Вашей антивирусной программе.
Надеюсь, данный материал окажеться полезным, и поможет Вам избежать роковых ситуаций.