ステップ1:HOSTSファイルの内容を確認する
デフォルトでは、HOSTSファイルは%SYSTEM%\ drivers \ etcディレクトリにあります。 これは、ユーザーをソーシャルネットワークVkontakte、Odnoklassniki、Yandex.Mail、Rambler MailのフィッシングサイトにリダイレクトするためにTrojan.Win32.QHost.mccマルウェアによって変更されたHOSTSファイルの外観です。
HOSTSファイルの機能を復元するには、すべての行を削除して、127.0.0.1 localhostのみを残します。 使用するすべてのWebサービスと、変更されたHOSTSファイルで示されているフィッシングサイトのパスワードを変更することを忘れないでください。
ステップ2. HOSTSファイルの場所を確認する
HOSTSファイルの変更は悪意のあるプログラムによって広く使用されていますが、そのような変更は簡単に検出できます。 攻撃者は、アクションの機密性を高める方法を探して、HOSTSファイルの場所を変更するというアイデアを思いつきました。 HOSTSファイルへのパスは、 HKLM \ System \ ControlSet001 \ Services \ tcpip \ parametersブランチのDataBasePathレジストリキーに新しい値を定義することで変更できます(CurrentControlSetからControlSet001 / Nまでのすべてのブランチを確認することをお勧めします)。 そのため、 Trojan.BAT.Delude.eは%Windir%\ Helpディレクトリに独自のHOSTSファイルを作成し、システムレジストリにそのパスを設定し、 Trojan-Downloader.Win32.Esepor.zは%Windir%\ NSDBパスをHOSTSファイルに設定します。
%SYSTEM%\ drivers \ etc以外のパスがこのキーで指定されている場合は、そこに示されているパスのHOSTSファイルを確認して、パスワードを変更するのが理にかなっているサイトを見つけます。 次に、パスを標準のパスに変更し、悪意のあるHOSTSファイルを削除します。
手順3. DNSサーバーの設定を確認する
別のファーミング方法は、攻撃者のDNSサーバーを指定することです。 たとえば、 Trojan.Win32.DNSChanger.pwfマルウェアは、レジストリを変更することにより、オペレーティングシステムで指定されたDNSサーバーを攻撃者のDNSサーバーに置き換えます。
このタイプのファーミング攻撃を検出するには、 IPconfig / allコマンドを実行します。これにより、ネットワークインターフェイスのすべての設定が表示されます。
DNSサーバーがスプーフィングされていることがわかった場合は、TCP / IPプロパティ設定で正しい値を復元できます。
結論の代わりに
コンピュータに悪意のあるプログラムがないユーザーであっても、ファーミング攻撃の被害者になる可能性があることは注目に値します 。
これがどのように可能であり、ファーミング攻撃のその他の機能は、AV-School Security Bulletinの第6号に記載されています。
-どのような農法が存在するか。
-悪意のあるプログラムはどのような方法で実装されていますか?
-FirefoxおよびAVZのプラグインを使用してファーミング攻撃を早期に検出する方法。
このニュースレターは、 PDFまたはXPSでここで読むことができます。