Мне зачастую приходится чинить домашние компьютеры знакомым и друзьям. Благо есть опыт и кое-какие навыки. От обычных вирусов спасают антивирусы. Но когда только-только появился Trojan.Winlock, это было большой проблемой, потому что модификаций у него море и ни один антивирус не справлялся оперативно с таким потоком. Пришлось учиться делать очистку вручную. Чтобы с этим разобраться в первый раз, было потрачено достаточно времени, часов 5, но теперь вся процедура занимает от силы 10 минут.
Но недавно я столкнулся с чем-то необычным, что было очень похоже на очередное Trojan.Winlock вымогательство. Для пользователя это выглядело так, что все сайты открываются нормально, но вот с сайтом «Вконтакте» прямо беда — вместо обычного входа требуют прислать денег. Это явно фишинговая атака!
Откуда же идет атака и почему ни антивирусы, ни ручная чистка не спасают?
Компьютер при тщательнейшей проверке оказался абсолютно чистым.
Исходные данные. На домашнем компьютере стоит Windows 7, где по умолчанию включен протокол IPv6. Атака началась внезапно, после перезагрузки компьютера. Никакие дополнительные программы не устанавливались, флешки не вставлялись.
Было установлено, что фишинговый сайт активизируется путем подмены IP-адреса настоящего Вконтакте, при этом локальный файл hosts остается чистым и все системные файлы не заражены. Путем кропотливого анализа в локальной сети провайдера был найден завирусованный DHCP-сервер, который по запросу выдает левые адреса DNS-сервера, обращения к которым приводят на фишинговую страницу. DHCP-сервер, как Вы уже, наверное, догадались — построен на протоколе IPv6, который никак не контролируется провайдером. Провайдер работает на IPv4. Что в канале происходит c IPv6 ему неведомо.
В итоге помогло отключение протокола IPv6 в настройках Windows 7.
Но самое интересное — это то, что невозможно очистить компьютер от подобных атак с помощью антивирусных средств. Они, после тщательного сканирования файлов, показывают — ваш компьютер не заражен. И это действительно так. Но зайти на настоящий Вконтакте невозможно.
Но недавно я столкнулся с чем-то необычным, что было очень похоже на очередное Trojan.Winlock вымогательство. Для пользователя это выглядело так, что все сайты открываются нормально, но вот с сайтом «Вконтакте» прямо беда — вместо обычного входа требуют прислать денег. Это явно фишинговая атака!
Откуда же идет атака и почему ни антивирусы, ни ручная чистка не спасают?
Компьютер при тщательнейшей проверке оказался абсолютно чистым.
Исходные данные. На домашнем компьютере стоит Windows 7, где по умолчанию включен протокол IPv6. Атака началась внезапно, после перезагрузки компьютера. Никакие дополнительные программы не устанавливались, флешки не вставлялись.
Было установлено, что фишинговый сайт активизируется путем подмены IP-адреса настоящего Вконтакте, при этом локальный файл hosts остается чистым и все системные файлы не заражены. Путем кропотливого анализа в локальной сети провайдера был найден завирусованный DHCP-сервер, который по запросу выдает левые адреса DNS-сервера, обращения к которым приводят на фишинговую страницу. DHCP-сервер, как Вы уже, наверное, догадались — построен на протоколе IPv6, который никак не контролируется провайдером. Провайдер работает на IPv4. Что в канале происходит c IPv6 ему неведомо.
В итоге помогло отключение протокола IPv6 в настройках Windows 7.
Но самое интересное — это то, что невозможно очистить компьютер от подобных атак с помощью антивирусных средств. Они, после тщательного сканирования файлов, показывают — ваш компьютер не заражен. И это действительно так. Но зайти на настоящий Вконтакте невозможно.
