Вирус заблокировал доступ в интернет


Что делать если вирус заблокировал доступ в социальные сети (вконтакте, одноклассники)

Как вирус может блокировать выход в интернет, и собственно зачем?

trojan.hosts access denied in internet

trojan.hosts access denied in internet

 Для рассмотрения данного вопроса предлагаю пойти от простого к сложному.

Сегодня после работы, одна моя знакомая принесла мне ноутбук, и поведала, что не может зайти ни в одну социальную сеть, будь то вконтакте или одноклассники. Причиной данного заражения является измененный файл hosts, который находится в системном каталоге:

C:\WINDOWS\system32\drivers\etc\hosts

Обычно в этом [измененном] файле прописывается редирект на фейк вида: vkontlakte.ru или vkontokte.ru и т. п.

А смысл здесь короткий:
Отослать логин и пароль от аккаунта Вконтакте или Одноклассники злоумышленнику, и как он воспользуется полученными данными зависит уже только от его фантазии.

Как правило данный вид вирусов trojan.hosts используется для взлома страниц вконтакте и других социальных сетей, при помощи социальной инженерии (СИ).

Что из себя представляет файл hosts?

hosts — это обычный текстовый файл, который содержит базу доменных имен, и является более [авторитетным] приоритетным перед DNS-серверами.  Для увеличения быстродействия работы в сети интернет, можно забить его самыми, часто используемыми адресами сайтов. Его синтаксис следующий:

ip_адрес доменное_имя

Из этого следует, что выполняя поиск ip адреса веб сайта, ОС Windows, да и любая другая, сначала ищет сопоставление адресов именно в этом файле, и если его там нет, то дальше уже обращается к DNS серверам. Следовательно, для того, что-бы перекинуть пользователя на фейк страницу, достаточно изменить в файле hosts значение:

ip_фейка www.odnoklassniki.ru

Поэтому чаще всего, для того что-бы разблокировать доступ вконтакт или одноклассники, достаточно открыть файл hosts в текстовом редакторе, например notepad++, ну или в TotalCommander -> F4, и удалить все строки, кроме:

127.0.0.1 localhost

Но в моем случае в файле hosts были другие записи:

127.0.0.1 www.odnoklassniki.ru

127.0.0.1 vk.com

А это означает, что вирь попался не тривиальный, и должен был как минимум поднять веб сервер на localhost. Но судя по всему — ему, это сделать не удалось, т. к. он был вырублен антивирусов от Microsoft. Но часть своего грязного дела ему все таки удалось выполнить, а именно заблокировать доступ в социальные сети, ибо при попытке обратиться к ним вылетала ошибка: Сервер не найден.

После вызова на редактирование файла hosts, вылетела ошибка:

У вас нет прав на сохранение файла hosts. (Ну говорю ж не тривиальный:)
Получить права на редактирование hosts удалось открыв вкладку безопасность, и изменив текущего владельца файла, а затем выставив права на изменение (чтение и запись) А вообще конечно я бы рекомендовал регулярно создавать точку восстановления, и потом просто делать соответствующий откат системы к работоспособной дате. Ведь это в свою очередь будет являться самым простым способом разблокировать компьютер, после появления вирусов.

Вирусы фэйки вконтакте и одноклассники

Любая модификация вируса trojan.hosts.xxx изменяет содержание системного файла hosts, но существует один очень важный момент: во время перенаправления (редиректа) пользователя на фейковую страницу, урл url адрес сайта не меняется! Т. е. если вы из закладок откроете свою страницу вконтакте, то trojan.hosts перебросит вас на фейковую страницу, а в адресной строке браузера, будет по прежнему красоваться vk.com.

Как правило, неопытных пользователей это вводит в заблуждение. Чтобы проверить уникальность урла, достаточно обновить страницу.

Есть некоторые разновидности троянов, которые могут заблокировать доступ к сайтам, изменив путь к файлу hosts. Проверить это можно выполнив Ctrl+R => regedit
И в ключе реестра:

HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath

Должно быть такое значение:

%SystemRoot%\System32\drivers\etc

А не какое-то другое. 😉

После процедуры очистки файла hosts, необходимо сбросить кэш DNS командой: ipconfig /flushdns запущенной в консоли от имени администратора, а также очистить cookies и cache во всех браузерах.

Как ограничить доступ в одноклассниках и в контакте

Для того, чтобы в рабочее время сотрудники не отвлекались на соц. сети (вконтакте, одноклассники и все остальные) вы тоже можете заблокировать им доступ с помощью файла хостс, я например с социальных сетей перебрасываю пользователей на Яндекс с помощью вот этого простого кода:

213.180.204.3 vk.com

213.180.204.3 m.vk.com

213.180.204.3 www.odnoklassniki.ru

213.180.204.3 m.odnoklassniki.ru

213.180.204.3 m.ok.ru

и обязательно после внесения изменений добавьте файл hosts в исключения антивируса, иначе антивирь его просто пофиксит.

Что делать если закрыли доступ в контакте и одноклассники?

Если добрый сисадмин закрыл вам доступ к в контакте и одноклассникам, то самый простой способ обойти ограничение доступа, это использование сайтов анонимайзеров, коих в сети огромное множество, но, т. к. эта статья посвящена в большей степени модификации системного файла hosts, то для получения доступа к контакту и одноклассники, вы можете попробовать для начала вызвать в урле мобильную версию соц. сети m.vk.com, m.odnoklassniki.ru, m.ok.ru.

Если вдруг ваш системный администратор закрыл доступ и к мобильным версиям социальных сайтов, то скорее всего вы не сможете отредактировать свой hosts, т. к. ваша учетная запись не будет обладать правами администратора.

Выход в данном случае остается один, это загрузка с любого LiveCD и редактирование (изменение) системного файла хостс.

Как можно подхватить вирус Trojan.Hosts

Вирус Trojan.Hosts

Вирус Trojan.Hosts

Ну, как минимум двумя способами:

1. Самостоятельно запустив .exe приложение на локальном компьютере.

2. Перейдя по ссылке [Url], в атрибутах которой содержится вредоносный JavaScript код, который добавляет в автозагрузку не(очень) доброе приложение, и уже оно потом редактирует файл hosts.

Поэтому лично я всегда, перед тем как нажать на ту или иную (сомнительную) ссылку, из ОС Windows всегда смотрю исходный код самой ссылки, и если там есть вызов например: browser.js и т. п. то, что-бы не тратить время на просмотр исходного кода browser.js(если нет явной необходимости ею воспользоваться), просто предпочитаю на нее не жать, ну или тупо скопировать)

Новый троян Trojan.BrowseBan.480 блокирует доступ к веб сайтам

19.12.2012 представители Dr. Web заявили о добавлении сигнатуры нового трояна Trojan.BrowseBan.480 в свою антивирусную базу. Данный вирь добавляет в каталоги браузеров специальные плагины и динамические библиотеки, которые потом изменяют пользовательские настройки, в результате при попытке посетить многие популярные интернет ресурсы, на экране появляется блокирующее окно, в котором предлагается ввести номер мобильного, а после полученный код, в ответном SMS. Стоит ли говорить, что данный вирь является корыстным? Данный зловред создает для браузеров отдельные каталоги, и добавляет туда файлы:

У (лисы) Firefox:

путь_к\Mozilla\Firefox\%s\extensions\informer@informer.net.xpi

Opera:

%APPDATA%\Informer\Opera\userscript.js

Для (ослика) Internet Explorer:

%APPDATA%\Informer\informer.dll

Ну и хрому :

%APPDATA%\Informer\Chrome\manifest.json
%APPDATA%\Informer\Chrome\userscript.js

Как удалить вирус Trojan.BrowseBan.480?

Тщательно проанализировав информацию на форумах посвященных безопасности, могу сделать вывод, что конкретных способов удаления Trojan.BrowseBan.480 никто не приводит, и т. к. я раньше не имел дело с данным трояном (ведь он свеженький:) многие антивирусы включая Crystal Kaspersky во всяком случае раньше пропускали зловреда.

А лечение данного вируса должно сводиться к удалению следов прибывания трояна в реестре,  и лучше для этих целей иметь (backup) резервную копию реестра, ну и удаление вышеописанных файлов ( [js] плагинов) и каталогов.

Фейки и подделка отправителя почты

Язык программирования PHP позволяет создавать скрипты для отправки почты. В качестве одного из параметров указывается отправитель письма и почтовый ящик для обратной связи. Злоумышленник отправляя почту на PHP, может с легкостью подделать адрес отправителя электронного письма. В результате пользователь может получить письмо от уже известного ему адресата созданное злоумышленником.

Поэтому лично я рекомендую не открывать почтовые ссылки, даже те, которые вам присылают ваши знакомые, ведь никакой гарантии того, что письмо отправлено именно вашим знакомым, почтовые сервисы дать не могут.

P.S. Не забывайте периодически создавать контрольные точки. :)