Что такое прокси вирусы

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Вот повторный лог

Деинсталлируйте тогда и их:

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt .
• Прикрепите отчет к своему следующему сообщению

Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены"List BCD" и "Driver MD5".

Компания Dr. Web сообщает о новом трояне, который устанавливает на заражённые компьютеры приложение TeamViewer. Злоумышленники используют его в качестве прокси и таким образом скрывают свои истинные IP-адреса.

Trojan.MulDrop6.39120 без ведома пользователя скачивает и устанавливает TeamViewer — популярное и совершенно легальное приложение, которое служит для удалённого управления компьютером, обмена файлами и проведения телеконференций. Известны случаи, когда злоумышленники применяли TeamViewer для того, чтобы получить контроль над машиной жертвы. BackDoor.TeamViewer.49 необычен тем, что его создатели нашли для TeamViewer другое сомнительное назначение.

BackDoor.TeamViewer.49 скрывается в модифицированной версии динамической библиотеки avicap32.dll, которую TeamViewer загружает при запуске. При установке приложение добавляет себя в список автозапуска и автоматически включается после каждой перезагрузки заражённого компьютера. После этого вредоносная программа убирает иконку TeamViewer из области уведомлений Windows, открывает защищённое соединение с командным сервером и ждёт дальнейших указаний.

Решение проблемы с пропажей места на жестком диске

С пару недель я страдал от постоянной нехватки места на компьютере на Windows 10. Стоило мне что-то удалить, как через какое-то время свободное место на диске становилось равно нулю. Поиски по интернету далеко не сразу привели меня к решению этой проблемы, по этому решил поделиться с вами вот здесь, мало ли кому пригодится.

Запустив программу SpaceSniffer (от имени Администратора), я увидел, что папка c\windows\temp занимает около 50% объема диска. Внутри обнаружилось десятки тысяч файлов под названиями Appx. и тд. И вы сейчас скажете, что всего лишь то нужно было почистить Temp, а я тут целый пост развожу. Я тоже так думал, но после удаления файлов - проблема не решилась - файлы опять начали генерироваться с бешенной скоростью. А вот теперь перейдем к корню проблемы.

Идем в Настройки, Конфиденциальность и во вкладках Фоновые приложения и Диагностика приложения - сверху переключаем триггер в состояние Отключить.

Вот и все. Если подробнее, то какие-то службы винды, а именно магазина создавали кучу ошибок, логи которых как раз и забивали место не диске.

Надеюсь, кому-то спасу много часов :)

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

В автозагрузке, повторюсь всё в порядке:

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Прокси – посредническое звено между компьютером, который использует абонент, и системой интернет-серверов. Если не вдаваться в терминологию, это удаленный компьютер-посредник для выхода пользователя в Интернет. Его основные задачи заключаются в трансляции всех запросов пользователя в Сеть и отправке обратно полученных ответов. Подробнее о том, что такое прокси, как работает сервер и с какой целью им пользуются, расскажем ниже.

Как работает прокси-соединение

Каждому компьютеру, с которого осуществляется выход в Сеть, присвоен уникальный IP-адрес. Его задача – идентификация интернет-пользователя. IP-адрес несет информацию о стране и регионе, номере интернет-провайдера и персонального компьютера в его сети. Прокси-серверам тоже присвоены уникальные IP-адреса. После подключения к прокси и передачи запросов в Сеть проверка покажет, что они исходят с сервера-посредника, а сам абонент сможет сохранять свое инкогнито (в случае работы с бесплатными серверами, на платных информация о клиенте сохраняется).

Для подключения к прокси понадобится выполнить настройки в браузере, который будет использоваться для отправки пользовательских запросов. Все последующие сетевые подключения будут выполняться на IP-адрес прокси-сервера. Когда потребуется обращение к какому-либо веб-ресурсу, локальным компьютером будет открыто соединение с прокси и совершен запрос. После проверки корректности запроса откроется соединение с ресурсом. Затем полученный ответ будет передан на компьютер абонента.

Зачем и кому нужен прокси

На сегодняшний день прокси-серверы используются в основном для сокрытия истинного IP-адреса. Причин для этого может быть несколько. Наиболее популярные – желание посетить сайт, доступ к которому заблокирован для вашего IP, и необходимость анонимной отправки почты. Есть еще несколько поводов, когда нужен прокси:

• защита сети или локального компьютера от некоторых видов сетевых атак и необходимость защиты конфиденциальной информации;
• ограничение доступа пользователей к некоторым типам веб-ресурсов. Практикуется в компаниях, чтобы предотвратить нерациональное расходование рабочего времени сотрудниками;
• желание подключить к Интернету несколько компьютеров при наличии одного IP-адреса. Настройки могут быть выполнены таким образом, что от внешних машин будет скрыта информация о локальных машинах, видеть они смогут только посредника;
• потребность в экономии потребляемого трафика – полученная из Сети информация будет передана пользователю в компактном виде;
• необходимость снижения нагрузки на интернет-канал и обеспечение клиентам оперативного доступа к информации. Для таких случаев выполняется кэширование файлов и их последующее хранение на прокси-сервере.

Преимущества

Наибольшую популярность они получили в корпоративном сегменте – именно через них осуществляется выход в онлайн-сети из локальных сетей юридических лиц. Этому поспособствовали следующие преимущества:

• прокси-серверы поддерживаются абсолютным большинством известных веб-браузеров;
• осуществляется полный контроль доступа, удобный учет трафика, его фильтрация (в случаях интеграции с антивирусами);
• возможность работы с минимальными правами на любой операционной системе;
• отсутствие выхода в Интернет по другим протоколам значительно повышает безопасность обмена информацией в корпоративной сети.

Несмотря на возрастающую популярность некоторых сетевых протоколов, прокси-серверы продолжают преобладать на предприятиях. И это несмотря на появление сравнительно недорогих аппаратных маршрутизаторов с функцией NAT. В основном это связано с тем, что вышеуказанные маршрутизаторы не в состоянии обеспечить достаточного контроля над выходом в Интернет и фильтрации контента.

Прозрачный – схема связи, перенаправляющая маршрутизатором часть трафика (или весь) на прокси-сервер. Достоинством такого типа связи является возможность клиента пользоваться всеми преимуществами прокси-сервера без выполнения каких-либо настроек. Это же является и недостатком, т. к. лишает пользователя выбора.

Обратный – прокси-сервер, используемый для восполнения баланса сетевой нагрузки между несколькими веб-серверами. Кроме того, его задача – повышать их безопасность. В таком случае обратному прокси-серверу отводится роль межсетевого экрана на прикладном уровне. При его использовании запросы пользователей ретранслируются из внешней сети на один или несколько серверов, расположенных во внутренней сети.

Кроме того, что прокси делятся на прозрачный и обратный типы, их можно классифицировать следующим образом:

• HTTP – наиболее популярный и универсальный тип прокси, который может использоваться для решения широкого спектра задач. Большая часть современного ПО поддерживает работу с ним;
• Socks – тип прокси, с которым совместима далеко не каждая программа. Требует установки дополнительного ПО в браузеры, т. к. они не поддерживают Socks по умолчанию;
• CGI – взаимодействие с ними осуществляется только через браузер, другое ПО не осуществляет поддержку CGI. Иное название этого типа прокси – анонимайзер;
• FTP – тип прокси, часто используемый в корпоративных сетях в качестве одной из составляющих единой системы защиты оборудования от внешних угроз.