Blog

výběr kategorie
Svinstvo v PC aneb falešný antivirus "System Tools"
Radim, 28. únor 2011, 20:00
Kategorie: Tipy & Testy

Zase se mi jednou po letech přihodilo, že jsem ani nevím jak do notebooku lapil škodnou.

Stalo se, že jsem synovi hledal nějaké free JAVA hry do mobilu a při té příležitosti natrefil na webovou stránku, která mi breberu podstrčila. Patrně v *.jad souboru, který jsem stáhl s přesvědčením, že se jedná o hru.

Co se přihodilo? Na první pohled dost nemilé věci.

  • nejprve se aktivoval falešný antivirus s názvem „System Tools“, který se jakoby přehrabal v adresářích a vyplivnul vymyšlenou hrůznou sbírku breber, které za jistý obnos v dolarech sliboval odstranit.
  • když jsem odmítl platit, zobrazil přes plochu hnusné pozadí z jedniček a nul a dramatické hlášení o nebezpečích spyware. Zároveň shodil antivirus, zablokoval nástroje pro kontrolu spuštěných procesů včetně Task managera a v Tray panelu co deset sekund zobrazoval nechutnou hlášku o své přítomnosti.

Řešení je vcelku triviální, takže v PC moc dlouho nezůstal. Protože se exe soubor brebery spouští automaticky po přihlášení k účtu ve Windows, jde o to, dostat se právě k nastavení programů, které se mají po spuštění aktivovat.

Řídit spouštění programů dokáže například i jinak výborná aplikace Tune Up. Protože použití při normálním přihlášení brebera znemožňuje, je třeba vypnout počítač, při nabíhání Windows stisknout klávesu F8 a přejít do nouzového režimu, který spustí Windows jen se základními službami.

Poté spustit aplikaci, která umožňuje řídit automatické spouštění programů při startu, v mém případě Tune Up, v seznamu najít zlovolnou breberu a zamezit jejímu spuštění. Brebera bude reprezentována náhodným řetězcem znaků, takových v seznamu mnoho nebude.

Pokud bylo zvoleno zamezení automatického spuštění odpovídající souboru, škodlivý exe soubor už nic nespustí, nikterak tedy škodit nebude a klidně je možné na něj zapomenout. Kdo by ho však v PC i tak mohl chtít, že ano? Není nic jednoduššího, než např. přes Tune Up zjistit cestu, kde se škodlivý soubor nachází. Nejspíš to bude složka se stejným názvem, jako má onen zjištěný exe soubor v umístění Documents and Settings / All Users / Data Aplikací (složka je ve výchozím stavu tzv. „skrytá“ – je zapotřebí v" Možnostech složek" zapnout zobrazení skrytých složek) a pak ji jednoduše celou smazat.


Tenhle malware se soustředí na zcela nezkušené uživatele počítačů, ze kterých se snaží vyrazit nějaký ten peníz. Trvalé škody na systému naštěstí po svém odstranění nepůsobí, pokud zrovna uživateli, jako taktéž mně, nevyřadí antivirus, takže by zůstal připojen k síti a lapil dále něco horšího… Zajímavé je, že kód ignorují mnohé antivirové programy.

Jsem si sice vědom toho, jak snadno lze i při dobrém zabezpečení ke škodné přijít, přesto sociální inženýrství zafungovalo i u mne, když jsem naletěl na falešnou JAVA hru do mobilního telefonu… Co všechno mohou nachytat třeba notoričtí příjemci zábavných e-mailových příloh, anebo bezhlaví návštěvníci warezu a „konzumenti“ cracků, si nějak ani nedokážu představit. Tím spíš, že většina malware se už dnes nesnaží uživatelům PC otevřeně škodit, jako tajně využít jeho informací, aniž by o tom mnohdy věděli.



Komentáře:

Jméno:*
E-mail:
WWW:
Text:*