Кожен з нас стикався з усілякими СМС-блокерами, якщо не у себе на комп'ютері, то на машинах друзів. Такі штуки важко назвати вірусами, але вони теж доставляють чимало клопоту.
Сьогодні ми спробуємо вивчити прийомчики кібер-шахраїв, якими вони користуються для відбирання у населення чесно зароблених грошей.
Закріплення в системі
Уявімо, що зла малваре вже проникла в систему. Наївний користувач завантажив і запустив шкідливий exe'шнік, який в першу чергу повинен забезпечити собі «нормальну» роботу. Для цього програма повинна прописати себе в автозавантаження разом з Windows. Багато прекрасно знають, що і де відповідає за запуск програм відразу після старту нашої улюбленої ОС, але я все-таки ще раз перерахую можливі варіанти.
Папки автозавантаження відомі будь-якому користувачеві. Всі їх вміст можна побачити в головному меню Windows, фізично ж вони розташовуються в профілях користувачів, наприклад, C: \ Documents and Settings \ admin \ Головне меню \ Програми \ Автозавантаження \. Зрозуміло, замість admin, можна підставити «All Users або Default User».
Усілякі шкідливі штуки рідко використовують це місце для свого запуску, оскільки навіть малодосвідчені користувачі можуть виявити сторонні файли в цих директоріях. Проте, як додаткова гарантія свого успішного старту це місце цілком згодитися, так що не слід обходити його стороною при пошуку малварі на зараженому комп'ютері.
Системні файли зі списком завантажуваних програм дісталися в спадок сучасним ОС Windows ще від їх 9х-родичок - 98-й і 95-й вінди. Перший такий файл - це win.ini, в якому є секція [windows], яка, в свою чергу, може містити запис «run = запускаемая_программа». Також існує файлик system.ini, в секції [driver32] якого треба перевірити наявність параметра виду «названіе_драйвера.
Крім всім відомих ключів HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ і HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ с їх братами для одноразового запуску RunOnce, існує ще безліч всяких гілок реєстру, з яких може стартувати програма.
Наприклад, якщо ти користуєшся IE, і він раптом почав поводитися дивно (показує голих тітоньок або відкриває дивні сайти), то варто заглянути сюди:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit \,
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \.
Ці гілки реєстру дозволяють запустити різноманітні виконувані файли (звичайні exe, програми, сервіси або dll).
До речі, останній ключик підвантажує призначену для користувача dll до explorer.exe, а це значить, що код зловреда буде працювати навіть в Safe Mode.
Слід звернути увагу і на HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ Імя_прогамми \ - при запуску Імя_прогамми буде запускатися софт, зазначений в строковому параметрі Debugger. Інша хитра малваре може використовувати асоціації файлів в реєстрі.
Тобто, при запуску, наприклад, txt-файлу, буде стартувати спочатку шкідливе ПО, яке вже потім буде запускати реальну програму, що працює з цим типом файлів. Також вірус може завантажитися в пам'ять комп'ютера за допомогою групових політик. За це відповідає ключ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run. в якому містяться параметри з шляхами запускаються.
Взагалі, місць, звідки може стартувати проник на комп'ютер СМС-блокер або інша зараза, багато, але перевірити їх досить просто (якщо не застосовуються спеціальні техніки маскування), особливо якщо використовувати спеціалізовані засоби, наприклад, утиліту HiJackThis.
оборонні редути
Треба сказати, що Фрауд-антивіруси, які більше орієнтовані на захід, практично не користуються такими трюками. Тобто, якщо наш вітчизняний СМС-блокер може геть-чисто паралізувати роботу комп'ютера, то англомовна малваре такого не робить. Причина, швидше за все, в тому, що в тих же Штатах законодавство до такого роду витівок відноситься набагато суворіше. Крім того, місцеві жителі не платять за електронні послуги есемесками, для цього у них є банківські карти, а, як відомо, Visa і MasterCard дуже ревно стежать за порядком серед своїх клієнтів. Одна гнівна скарга від довірливого користувача - і білінг, який проводить процесинг платежів за Fraud Antivirus, може назавжди втратити ліцензію.
Перший з них - DisableRegistryTools. Якщо привласнити йому значення рівне 1, то regedit.exe не захоче запускатися. Ще варто звернути увагу на параметр DisableRegedit, який може знаходитися крім HKCU-секції ще і тут - HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. Для заборони запуску «Диспетчера завдань» використовується параметр DisableTaskMgr в HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. Зрозуміло, малваре може заборонити запуск певних програм. Робиться це знову-таки через політики безпеки. Якщо ключ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer матиме параметр RestrictRun зі значенням рівним одиниці, а також підключений RestrictRun, який містить в собі список exe-файлів, то користувач зможе запустити тільки ті програми, які знаходяться в цьому списку.
Для чорного списку слід використовувати параметр і ключ DisallowRun, завдяки яким запуск певного ПО стане неможливий. Уже цей набір обмежень дозволяє малварі досить добре захистити себе від зазіхань на своє життя. Навіть якщо намагатися пробувати запустити нестандартні засоби для моніторингу процесів і редагування реєстру, то і вони можуть бути заблоковані за допомогою DisallowRun або RestrictRun. І це аж ніяк не єдиний спосіб перешкодити запуску чогось в інфікованій системі! Наприклад, зловредів може переассоцііровать запуск програм на себе, прописавши власне тільце в параметрі за замовчуванням для ключа HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command.
Або ж погратися з підключити в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options. Але, на жаль, перерахованими вище методами малваре не обмежується. Творці свого дітища можуть блокувати деякі настройки робочого столу, налаштування відображення файлів в провіднику та інше. Але це ми розглянемо трохи нижче, разом з порушенням працездатності інтернету, оскільки всі ці трюки служать більше для залякування користувача, ніж для захисту зловреда.
Вплив на користувача
Найголовніше завдання шахрайського ПО - це виманити у користувача певну суму грошей. Це завдання в якійсь мірі можна назвати навіть творчої - треба так налякати юзера, щоб він, не сильно шкодуючи про своїх кревних, відправив СМС і при цьому не вирішив самостійно позбавиться від малварі. Тому розробники зловредів включають свою фантазію на повну котушку. Найбанальніша і поширений прийом для впливу на користувача - це невбивані вікно. Його не можна закрити, не можна згорнути, воно висить поверх всіх інших вікон на робочому столі, а в деяких випадках воно навіть монопольно володіє фокусом введення.
Досягти такого ефекту зовсім нескладно, причому використовуючи стандартні засоби Windows. API-функція CreateWindowEx, що відповідає за створення вікон, має безліч параметрів, серед яких dwExStyle і dwStyle, що дозволяють програмістам-шахраям домогтися потрібного ефекту. Наприклад, передавши функції в якості першого аргументу значення WS_EX_TOPMOST, ми змусимо вікно відображатися завжди поверх всіх інших вікон, які не мають цього атрибута, а погравши dwStyle можна отримати відсутність усіляких контролів в заголовку вікна або навіть взагалі позбутися від цього заголовка.
Для того щоб вікно СМС-блокера не можна було закрити, зазвичай перехоплюють повідомлення WM_CLOSE, з обробника якого забирається стандартний код закриття вікна. Взагалі, за допомогою цих повідомлень можна зробити багато цікавих речей. Наприклад, малваре може обробляти WM_MOUSELEAVE і, в разі, якщо курсор миші покидає клієнтську частину вікна, повертати його назад. Чим сообразительней програміст, тим більше всяких трюків він може придумати.
Але одним лише всюдисущим вікном справа зазвичай не обмежується. Зустрічаються, наприклад, екземпляри, які змінюють шпалери на робочому столі. Зазвичай таким трюком користуються антивіруси-підробки. На робочому столі з'являється щось типу значка хімічної зброї та грізна напис, а при кліці по порожньому простору екрану відкривається інтернет-сторінка з пропозицією купити «корисне» ПО. Робиться це досить просто, ніяких велосипедів винаходити не треба - в Windows є забута всіма можливість виводити на робочий стіл певну веб-сторінку - з усіма витікаючими з цього наслідками.
Використовуються і більш вишукані способи. Наприклад, інтерфейси WMI дозволяють додаткам отримувати сповіщення про запускаються процесах (та й взагалі багато всякої іншої інформації). Малваре може моніторити з допомогою WMI список процесів, запущених в системі, і при запуску нової програми виконувати певні дії, наприклад, закривати новостворений процес і показувати повідомлення з радісним закликом заплатити і спати спокійно. Дуже часто можна зіткнутися з тим, що інтернет-браузер відмовляється відображати деякі частини всесвітньої павутини, наприклад, сайти антивірусних компаній або пошуковики. Нескладно здогадатися, що це зроблено для того, щоб жертва якомога довше відчувала на собі дію зловреда. Зробити подібну капость можна купою різних способів.
Найчастіше це практично неможливо (у випадку з великими сайтами типу яндекса, гугла і інших), тому шляхом модифікації роутінга зло-кодери дуже часто просто відрубують інтернет користувачеві, який не заморочуючись з вибіркової блокуванням. За допомогою hosts і проксі можна навіть організувати простенький фішинг, підміняючи оригінальні сторінки на дуже схожі. Як варіант - просто виводити великими червоними літерами повідомлення «Надішліть СМС». Зрозуміло, підміняти сторінки можна не тільки на стороні сервера, але і локально, використовуючи усіма улюблені розширення до браузерів. Наприклад, в IE - це широко відомі BHO. Непомітно встановивши таке розширення, можна гнучко управляти вмістом відображається веб-сторінки. Наприклад, Фрауд-антивіруси можуть замінювати «погані» для себе посилання у видачі пошукових систем, так як зазвичай, якщо ввести назву подібного ПО в гуглі, то перший лінк буде на інструкцію про те, як від цього ПО позбутися.
висновок
У цій статті ми привели далеко не повний список трюків і хитрощів, які використовують сучасні зловредимошеннікі. Кодери, що перейшли на темну сторону, постійно придумують нові хитрощі і методи впливу на законослухняних користувачів Мережі. Але маючи хоча б невелике уявлення про те, що і як робить горезвісний СМСблокер, можна вже боротися з ним. А щоб ця боротьба була якомога менш болючою, дуже раджу всім крім крутих антивірусів використовувати обліковий запис з урізаними правами, так як в Лінукс і Макос вірусів немає саме тому, що там не сидять під рутом.