[cтатья] Если кто-то захватил наш ероплан...

[b]Если кто-то захватил наш ероплан... [/b]
С удивлением обнаружил, что о вирусах пишут много, о спаме – еще больше, а о такой интересной теме, как «перехватчики страниц» ака hijacker’ы не написано практически ничего. А проблема, похоже, становится насущной: все в большем и большем числе форумов я встречаю вопросы примерно одного и того же плана: «Ребята, помогите, мой Эксплорер начал устанавливать стартовой страницей xxxnakedteens.com и я никак не могу это убрать. Что это такое?»

А это, дорогие мои, вы поймали так называемый «хайджекер» (hijacker). Слово происходит от английского hijack, что означает «захватить» (самолет, пароход, поезд и так далее). Хайджекер – особый вид эксплоита (кусочка кода, внедренного в веб-страницу и использующего бреши в безопасности компьютера для всяких несанкционированных действий), который изменяет значения в регистратуре таким образом, чтобы сделать вашей стартовой страницу какого-то левого сайта. Часто – какой-нибудь поганой искалки, чуть реже – порносайта, еще реже, но тоже возможно – странички, нафаршированной по самые уши вирусами и троянами.

Казалось бы, ну и что тут такого? Почистил регистратуру и пошел дальше. Это прекрасно понимают и авторы хайджекеров, которые действуют более изощренно и подгружают на ваш компьютер небольшую программу, задача которой – обновлять регистратуру после того, как вы ее подчистили. Чтобы усложнить ваш поиск, программа маскируется под системный файл.

Подлость состоит в том, что несмотря на явное вторжение в ваш компьютер, хайджекеры не классифицируются создателями антивирусных программ как вирусы, и, следовательно, антивирусы их не отлавливают. Хайджекеры классифицируются как более безобидный класс нежелательных программ – рекламные программы (adware) и, следовательно, спасение утопающих – на 90% дело рук самих утопающих. Существуют две неплохие программы, чистящие компьютер от adware: SpyBot и Ad-Aware, но обновления файлов-сигнатур к этим программам безнадежно запаздывают.

Кстати, безобидность adware – вещь относительная. Не говоря о том, что иной хайджекер запросто перебросит вас на страницу, нашпигованную вирусами-эксплоитами, есть небольшое количество программ, которые после активизации обрывают ваше подключение к Интернету (если вы на диалапе) и перезванивают по другому, платному номеру. Правда, это актуально только для США и Канады и только для пользователей, сидящих на модеме. А таких в США и Канаде все меньше и меньше. Хотя я знаю как минимум одного пострадавшего.

Первый вопрос, который сразу же задают товарищи потерпевшие: «Где я подцепил эту гадость?» Не будем ханжами: 99% adware «сидит» на порнушных и варезных сайтах. Так что извините, друзья, но это вы сами искали «кряк для Интернета» или «Hot Asian Teens», вот и вляпались. 1% оставляем на так называемые «горшочки с медом» (honey pots) – страницы-приманки, которые в описании и ключевых словах содержат что-то завлекательное, а на деле имеют ваш компьютер. Но опять-таки, я никогда не ловил adware на страницах, посвященных кройке и шитью, а вот на каких-нибудь «бесплатных звонках в Россию и за рубеж» - всегда пожалуйста. И тут создатели adware правы, размещая свои эксплоиты на страницах, посещение которых человек меньше всего хочет афишировать.

Как adware попадает на компьютер? Когда Майкрософт анонсировал создание скриптового ядра Windows Scripting Host, это было воспринято администраторами с энтузиазмом. К сожалению, ребята из Майкрософт решили упростить себе жизнь, поэтому и WSH, и Internet Explorer используют один и тот же движок (engine) для исполнения JavaScript и VBScript. То есть JavaScript код веб-страницы может вызывать объекты WSH и прочие COM и ActiveX объекты, зарегистрированные на вашем компьютере. А что еще для счастья надо? Для подгрузки исполняемого файла используется MDAC и дело в шляпе: JavaScript веб-страницы подгружает adware и передает управление ей. 99% пользователей Windows 2000/XP работают с правами администратора, а под Windows 98 никаких прав вообще нет, при этом, не смотря на отсутствие WSH, IE 6.0 (если сделан апгрейд) обладает необходимыми классами и библиотеками для загрузки adware.

Как бороться? Антивирус должен быть обязательно, хотя он не поможет. Иметь на компьютере Ad-Aware и/или SpyBot – тоже насущная необходимость наших дней. Но вот Ad-Aware и SpyBot ничего не нашли, а домашняя страница продолжает меняться – что же делать?

К счастью, существует на так уж много мест, где adware может засесть и прописать себя на самозапуск. Вот три главных места:

1. В Start-Programms-Startup.

2. Под ключом HKLM\Software\Microsoft\windows\current version\run в регистратуре. Регистратура просматривается командой regedit.exe.

3. Под ключом HKCU\Software\Microsoft\windows\current version\run там же.

Вы должны помнить наизусть (или записать/сохранить в файле) эталонные значения папки Startup и вышеприведенных ключей. Учтите, что adware маскируется на файлы, выглядящие как системные, поэтому его не так уж просто отличить от действительно системных файлов.

Например, если в папке Start-Programms-Startup у вас сидит winlogon.exe, то это вовсе не системный логон, а adware-хайджекер. Настоящему винлогону там делать нечего.

Помимо записи себя в регистратуру adware может:

1. Подменить ваш host-файл, чтобы вместо www.chegorian.com вы попадали на какой-то галидор.

2. Добавить новые кнопки к Эсплореру.

3. Вызываться как DLL с помощью rundll32.exe.

4. Создать стайлшит, внутри которого будет сидеть зашифрованый скрипт.

И многое другое.

Последний хайджекер, который я отловил на своей машине, сидел под ключем HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad в виде переменной System REG_SZ {35CEC8A3-2BE6-11D2-8773-92E220524153} (номер объекта может быть разный, зависит от регистрации) Сам объект указывал на файл system32.dll в каталоге system32. Это не системный файл, а достаточно подлый хайджекер, который перекидывал мою домашнюю страницу IE на порнушную страницу с кучей вирусов и эксплоитов, которых, правда, отлавливал антивирус. Как поймал? Да кряк какой-то искал...

Существует прекрасный сайт http://www.computercops.biz/, где в разделе http://www.computercops.biz/HijackThis.html люди делятся информацией о новых хайджекерах. Если вы поймали что-то, что не могут отловить ни Ad-Aware, ни SpyBot, идите туда. Возможно там вы найдете решение вашей проблемы.

И последнее, если у вас хватило терпения дочитать эту страничку до конца. Опуская вопросы этики, hijack-технологии можно использовать для уникальной регистрации посетителей вашей веб-странички. То есть уникально будет регистрироваться связка "компьютер-пользователь".

Это вполне может пригодиться вебмастеру для блокирования особо одаренных посетителей, которых банишь по IP - они лезут через анонимные прокси, ты их в дверь - они в окно.

А так - небольшой скрипт, прописывающий на компьютере у очередного "кулхацкера" под ключем HKCU небольшую случайно сгенеренную сигнатуру и я вам гарантирую - товарисч изойдет на говно и слезы, пытаясь понять, почему он лезет уже через двадцатый каскадный прокси, а его все равно не пускают. Сигнатуру желательно упрятать куда поглубже и замаскировать под что-то легитимное. Скрипт можно написать и для Нетскейпа с Мазиллой, и для Оперы, но нужно применить больше фантазии.

Любителям покричать о незаконности таких действий сообщаю, что любой веб-сайт имеет право проинсталлировать на вашем компьютере любой ad-on, если он служит цели корректной работы сайта. Вы вправе этот ад-он не ставить, но тогда и сайт у вас работать не будет.

2004 © Serge