Можно ли получить вирус через скайп
- Я - фотографПлагин для публикации фотографий в дневнике пользователя. Минимальные системные требования: Internet Explorer 6, Fire Fox 1.5, Opera 9.5, Safari 3.1.1 со включенным JavaScript. Возможно это будет рабо
- ОткрыткиПерерожденный каталог открыток на все случаи жизни
- ТоррНАДО - торрент-трекер для блоговТоррНАДО - торрент-трекер для блогов
- Музыкальный плеер
- Всегда под рукойаналогов нет ^_^ Позволяет вставить в профиль панель с произвольным Html-кодом. Можно разместить там банеры, счетчики и прочее
-Метки
-Статистика
ПРЕДУПРЕЖДЕНИЕ. ПРОЧИТАЙ И ПЕРЕДАЙ ДРУГИМ.
-неизвестно
-Друзья
Заключение
Заканчивая статью, я хотел бы спросить: что же все-таки скрывают создатели Skype в недрах своего кода? Почему, распространяя программу бесплатно, они зажимают исходные тексты и используют закрытый протокол, вызывая тем самым недоверие специалистов по безопасности? Для чего бесплатной программе столь навороченная защита, снижающая производительность и потребляющая большое количество памяти, ведь ломать ее никто не собирается? Почему вообще Skype-клиент реализован как черный ящик?
Вопросы риторические. Но чует мой хвост, неспроста все это!
WWW
Полную версию статьи
читай в апрельском номере
Хакера!
В этом посте мы подробно рассмотрим каждый этап такой атаки, чтобы понять какими методами пользовались злоумышленники для преодоления возможностей безопасности системы. Разумеется, различные методы социальной инженерии для доставки вредоносного кода предоставляют этим атакам дополнительные возможности по усилению эффекта.
Природа атаки
Когда количество потенциальных жертв атаки, за короткий период времени, начинает превышать определенный порог, мы начинаем наблюдать своеобразные цепные реакции заражения пользователей, на которых первоначально эта атака не была рассчитана. Подобная ситуация была зафиксирована нами в мае, когда кроме уведомлений от системы раннего обнаружения ESET (ESET Early Warning System), мы получали запросы в техническую поддержку от пострадавших пользователей.
Рис. Статистика переходов по вредоносным ссылкам, на которой виден всплеск 20-го мая.
После более детального анализа вредоносного кода, мы установили, что обнаруживаемый нами код представляет из себя одну из модификаций угрозы Win32/Gapz, подробный анализ которой мы публиковали ранее. Одна из модификаций Gapz представляет из себя мощный буткит с возможностью внедрять свой код в процесс explorer.exe для выполнения оттуда деструктивных функций. Оба этих вредоносных кода основаны на коде дроппера PowerLoader.
Статистика переходов по вредоносным ссылкам показывает, что только пять адресов goo.gl использовались пользователями для перехода около полумиллиона раз на протяжении всей кампании. Из общего количества переходов (кликов), 27% были существлены из стран Латинской Америки: Мексика (27,023), Бразилия (37,757) и Колумбия (54,524). Россия была также одной из наиболее пострадавших стран с количеством переходов более 40 тыс. Германия является лидером по переходам в глобальном масштабе, более 80 тыс. кликов в течение первой волны.
Рис. Статистика по используемым платформам для пользователей, которые перешли по вредоносным ссылкам в первый день атаки на Skype. 85% пользователей использовали различные версии Microsoft Windows.
- Fotos91-lol.zip
- Fotos92-lol.zip
- Fotos93-lol.zip
Рис. Количество URL-адресов (ссылок), которые использовались злоумышленниками в дни атак.
В течение двух недель мы наблюдали в общей сложности сорок одну ссылку, которые направляли пользователя на загрузку вредоносных программ. Для формирования таких ссылок использовались различные сервисы сокращения ссылок:
- goo.gl
- bit.ly
- ow.ly
- urlq.d
- is.gd
- fur.ly
Рис. Статистика переходов по вредоносным ссылкам.
Можно увидеть спад количества переходов в конце волны распространения вредоносного кода. Очевидно, что это связано с отсутствием эффекта внезапности, осведомленностью пользователей об активности злоумышленников и предупреждениями от антивирусных компаний по поводу такой атаки. На рисунке ниже показаны регионы активности атаки для разных ссылок. Видно, что Россия является одним из наиболее пострадавших регионов с высокой активностью для всех трех ссылок.
Рис. Страны с наибольшей «активностью» переходов по вредоносным ссылкам.
Во многих случаях пользователи продолжают использовать свою ОС не подозревая о том, что они были скомпрометированы. Для некоторых таких пользователей мы наблюдали более 30 файлов обновлений вредоносной программы в системных каталогах.
Как мы уже указывали, Win32/PowerLoader связан с другой угрозой – Win32/Gapz. Дропперы последнего основаны на кодах PowerLoader, который представляет из себя билдер ботов для создания вредоносного ПО, известного как загрузчики/даунлоадеры (downloaders). Подобный инструмент создания вредоносных программ является примером модульного подхода и последующей дистрибуции вредоносного кода. Сам билдер был замечен в использовании злоумышленниками с начала этого года и также использовался в модификациях другой угрозы – Win32/Dorkbot. Инструмент позволяет злоумышленникам указать до трех URL-адресов, с которыми будет взаимодействовать бот на зараженном компьютере. С этих URL будет скачана еще одна вредоносная программа, т. е. Win32/Rodpicom, в случае этой Skype атаки.
Рис. Конфигурационный файл бота Win32/PowerLoader.
Видно, что этот файл содержит те самые URL (С&C) для получения инструкций от злоумышленников, а также другие данные конфигурации. После успешного заражения компьютера, бот будет взаимодействовать с C&C каждые 15 минут для загрузки другого вредоносного кода, который позволит злоумышленникам выполнять различные задачи на компьютере пользователя.
Рис. Отчет, посылаемый ботом на сервер.
Вредоносные файлы, загружаемые ботом, хранятся в директории «C:\ProgramData» и за период активности бота мы обнаружили более 50 таких файлов.
Рис. Вредоносные файлы, загруженные ботом Win32/PowerLoader.
Среди вредоносных программ, которые учавствуют во второй стадии компрометации системы, были обнаружены следующие семейства:
- Windows Messenger
- Quite Internet Pager
- GoogleTalk
- Digsby
Очевидно, что подобная массивная спам-атака была заранее хорошо спланирована и злоумышленники хотели достичь высоких показателей компрометации пользователей. Мы зафиксировали, что один из ее этапов начался в 9 часов утра по европейскому времени, что соответствует началу рабочего дня, когда трафик в социальных сетях довольно высок.
-Сообщества
-Метки
Как Skype обходит брандмауэры
Протокол обмена между Skype-клиентами совершенно недокументирован, и поэтому вся информация о нем получена методами реинженеринга: дизассемблирования Skype-клиентов, анализа перехваченного сетевого трафика и т.д. Поскольку существует огромное количество значительно различающихся между собой версий Skype-клиентов, то описание протокола может содержать неточности, во всяком случае, open-source-клиента еще никто не написал.
Структура IP-пакета при работе Skype по протоколу UDP
Ситуация осложняется тем, что Skype шифрует трафик, активно используя продвинутые технологии обфускации, препятствующие выделению постоянных сигнатур в полях заголовков. Алгоритмы шифрования меняются от версии к версии, к тому же выпущено множество специальных версий для разных стран мира, чьи законы налагают определенные ограничения на длину ключа или выбранные криптографические алгоритмы. Но в целом механизм шифрования выглядит так, как показано на рисунке.
Механизм шифрования, используемый Skype
Так что, с юридической точки зрения, действия Skype законны и не попадают под статью.
STUN, расшифровывающийся как Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs) (простое проникновение датаграмм протокола UDP через транслятор сетевых адресов (NAT)), представляет собой отличное средство, которое страдает, однако, рядом ограничений и не работает в следующих случаях:
- если путь во внешнюю сеть прегражден злобным брандмауэром, режущим весь
UDP; - если на пути во внешнюю сеть стоит симметричный транслятор сетевых адресов.
Эта проблема решается протоколом TURN (Traversal Using Relay
NAT), технические подробности работы которого описаны по вышеупомянутому адресу и большинству читателей совершенно неинтересны. Гораздо важнее другое — протокол TURN значительно увеличивает латентность и теряет большое количество UDP-пакетов (packet loss), что далеко не лучшим образом сказывается на качестве и устойчивости связи, но полное отсутствие связи - еще хуже. Так что пользователям Skype стоит радоваться, а не жаловаться!
Структура Skype-сети, в которой присутствуют
Skype-клиенты за NAT и брандмауэрами
Вот только администраторы этой радости почему-то не разделяют, наглухо закрывая UDP-трафик (тем более что большинству нормальных программ он не нужен). Немного поворчав для приличия (замуровали, демоны!), Skype автоматически переключается на чистый TCP, отрубить который администратору никто не позволит. Правда, поколдовав над брандмауэром, тот может закрыть все неиспользуемые порты, но в том-то и подвох, что неиспользуемых портов в природе не встречается! При соединении с удаленным узлом операционная система назначает клиенту любой свободный TCP/UDP-порт, на который будут приходить пакеты. То есть, если мы подключаемся к web-серверу по 80-му порту, наш локальный порт может оказаться 1369-м, 6927-м или еще каким-нибудь другим. Закрыв все порты, мы лишимся возможности устанавливать TCP/UDP-соединения!
Единственный выход — обрубить всем пользователям локальной сети прямой доступ в интернет, заставив их ходить через proxy-сервер. Однако даже такие драконовские меры не решат проблемы, поскольку Skype просто прочитает конфигурацию браузера и воспользуется proxy-сервером как своим родным!
Skype, работающий через proxy-сервер, конфигурация которого прочитана из настроек браузера
-Резюме
-Фотоальбом
Это Мои внуки 15:32 28.04.2015 Фотографий: 16 Моя оранжерея 10:11 01.01.2012 Фотографий: 34 Моя семья 19:49 30.08.2010 Фотографий: 1
-Поиск по дневнику
Как заблокировать Skype-трафик
Разработчики Skype предостерегают администраторов от попыток выявления и блокирования его трафика (типа: «Все равно у вас ничего не получится!»). И действительно, распознать Skype-трафик очень сложно, а заблокировать его можно только по содержимому, которое зашифровано и не содержит никаких предсказуемых последовательностей. К счастью для администраторов, создатели Skype, при всей своей гениальности, допустили ряд оплошностей, оставив часть трафика незашифрованной. UDP-соединение использует открытый протокол для получения публичных IP-адресов super-узлов, что вполне может быть выявлено анализатором трафика. Это раз. TCP-соединение использует один и тот же RC4-поток дважды, что позволяет нам восстановить 10 первых байт ключа, расшифровав часть постоянных полей заголовков Skype-протокола. Это два! Кстати, весьма полезная вещь для шпионажа за чужими разговорами! Однако мне не известен ни один готовый блокиратор Skype-трафика, а писать свой собственный — лениво, да и времени нет.
Повторное использование RC4-потока позволяет восстановить 10 байт ключа из 12-ти, расшифровывая часть Skype-трафика
Распознать и заблокировать UDP-трафик намного проще. Каждый фрейм начинается с двухбайтового идентификационного номера (ID) и типа пакета (payload). В UDP-пакет вложен 39-байтный NACK-пакет, пропущенный через обфускатор и содержащий следующие данные:
- идентификатор пакета (непостоянен и варьируется от пакета к пакету);
- номер функции (func), пропущенный через обфускатор, но func & 8Fh всегда равно 7h;
- IP отправителя;
- IP получателя.
Таким образом, чтобы заблокировать UDP-трафик, генерируемый Skype, достаточно добавить в брандмауэр следующее правило:
iptables -I FORWARD -p udp -m length --length 39 -m u32
--u32 '27&0 x8f=7' --u32 '31=0 x527c4833 ' -j DROP
Структура NACK-пакета
К сожалению, блокировка UDP-трафика ничего не решает, поскольку Skype автоматом переходит на TCP, но тут есть одна небольшая зацепка. Заголовки входящих IP-пакетов, относящиеся к протоколу обмена SSL-ключами
(SSL key-exchange packets), содержат нехарактерный для «нормальных» приложений идентификатор 170301h, возвращаемый в ответ на запрос с идентификатором 160301h (стандартный SSL версии 3.1). Таким образом, блокирование всех входящих пакетов, содержащих в заголовке 170301h, серьезно озадачит Skype, и текущие версии потеряют работоспособность. Вот только надолго ли…
Распознание Skype-трафика по необычному идентификатору во время обращения к Login Server при обмене SSL-ключами
Для детектирования и блокирования Skype-трафика можно использовать и другие программно-аппаратные средства, например, PRX от Ipoque или Cisco Network-Based Application Recognition (NBAR). Однако все они недостаточно эффективны, так как разработчики Skype не сидят сложа руки, и если кому-то удается найти надежный способ блокировки его поганого трафика, в следующих версиях поганец появляется вновь.
-Ссылки
-Музыка
-Рубрики
- Мои рамочки (478)
- Шаблоны (23)
- Кулинарные (18)
- Детские (8)
- Садово-огородние (5)
- Рамочки для видео (4)
- Рамочки текстовые (420)
- Corel Paint Shop (29)
- Мои работы в Корел (3)
- Обработка фото (17)
- ЖЖ (14)
- Ты Россия моя (12)
- Рецепты:соусы (2)
- Paint и Программа GIMP (54)
- Google Picasa, PicturesToExe Deluxe (2)
- ProShowProduser (24)
- Анимации картинки (55)
- Выпечка, десерт (200)
- Вышивка и вязание (231)
- Генераторы (52)
- Для души (8)
- Домоводство, рукоделие и советы для нас (140)
- Заготовки на зиму (44)
- Здоровье (304)
- Интересные сайты (84)
- История,религия (75)
- К дню победы (52)
- Книги (155)
- Кулинарная книга (60)
- Готовим в мультиварке (34)
- Любимые мелодии (254)
- Мир детства (24)
- Мир искусства (64)
- Мой цветочный мир (261)
- Цветы комнатные (131)
- Цветы садовые (49)
- Музыка и плейеры (80)
- Плейкаст и плейлист (7)
- Открытки (26)
- Мои открытки (7)
- Уроки (8)
- Парки мира (39)
- Подсказки при написании постов (51)
- Посмеемся. (190)
- Постигаем Интернет (154)
- Уроки от Любаши (28)
- Программы (239)
- Aleo Flash Banner Maker, Aleo Flash MP3 Плеер Bu (22)
- FantaMorph (9)
- Art Waver, SWFText (12)
- DP Animation Maker (11)
- Flash CS5,Блинги (16)
- Sothink SWF Quicker,Sothink SWF Easy (51)
- Все для фото (21)
- Разные (33)
- Яндекс-фотки,Скайп, Радикал,Ютуб (30)
- Путешествия по миру. (74)
- Разные разности (141)
- Личное (4)
- Создаем Слайд-шоу и видео (37)
- Фото в рамочке (80)
- Рамочки моих друзей (155)
- Учимся делать рамочки (65)
- Рецепты - рыба (42)
- Рецепты:вторые блюда (217)
- Рецепты:первые блюда (12)
- Рецепты:салаты и напитки (175)
- Советы по ведению дневника (53)
- Советы от Rost и Легионера (8)
- Стихи (197)
- Схемы для днева, в т.ч.Мои схемы (198)
- Уроки по созданию схем и фонов (21)
- Уголки,разделители и декор (116)
- Удачи на даче (136)
- Украина (17)
- Умные мысли (44)
- Фильмы,спектакли (55)
- ФЛЕШ (290)
- Мои флеш (148)
- Уроки флеш (37)
- Флеш картинки (103)
- Фоны и бордюры (322)
- Фотошоп (1817)
- Видеоуроки (54)
- Клипарты (302)
- Коллажи, картинки PNG (180)
- Маски, кисти,заготовки для коллажей (67)
- Мои работы в ФШ (368)
- Плагины (58)
- Скрапы и баннеры (108)
- Стили, шрифты, клавиши (16)
- Уроки анимации (86)
- Уроки от Natali, Мишель и Ольги Бор (21)
- Уроки от ZOMKA, Елены, Милой Татьяны и бабули (29)
- Уроки от Аделины,Тамилы и Ларисы Г. (28)
- Уроки от Иры Семеновой,Кубаночки и Алены (9)
- Уроки от Искательницы и Новичек (22)
- Уроки от Леди Ольги (89)
- Уроки от Мадемуазель VIV, Тони и ГП (39)
- Уроки от Яны,Бэтт и Инны Гусовой (8)
- Уроки фотошопа (152)
- Уроки Эмилли, DiZa-74 и Любаши (41)
- Учимся делать коллаж (100)
- Экшены, футажи, заготовки для ФШ (35)
- Художники,фотографы (172)
- Чудеса природы (69)
Меня зовут Светлана Дмитриевна.
Армии дронов, или как зомбировать Skype
Хакеры уже давно догадались использовать Skype для распространения вирусов и организации распределенных атак, которым очень сложно воспрепятствовать - Skype-трафик надежно зашифрован и не может быть проанализирован антивирусами, заблокирован брандмауэрами или распознан системами обнаружения вторжения.
Возможность передачи управления на shell-код позволяла атакующему овладевать любым
Skype-узлом, а также всеми известными ему super-узлами и т.д. Над распределенной сетью нависла глобальная угроза, и просто чудо, что она не закончилась катастрофой. Однако, как показывает практика, там, где есть одна ошибка, рано или поздно появляются и другие. Закрытость исходных текстов и множество антиотладочных приемов (затрудняющих тестирование программы) этому только способствуют!
Другая опасная «вкусность» Skype заключается в открытости его API. Пойдя навстречу сторонним разработчикам, создатели Skype предусмотрели возможность интеграции любой прикладной программы со
Skype-клиентом. Правда, при этом на экран выводится грозное предупреждение, что такая-то программа хочет пользоваться Skype API: разрешить или послать ее на фиг? Естественно, большинство пользователей на подобные вопросы отвечают утвердительно. Уже привыкшие к надоедливым предупреждениям, они инстинктивно давят «Yes» и только потом начинают думать, а что же они, собственно, разрешили?
Понятное дело, что, чтобы использовать Skype
API, зловредную программу нужно как-то доставить на компьютер. Раньше для этого применялась электронная почта, успешно фильтруемая антивирусами, но количество пользователей, запустивших исполняемый файл, все равно исчислялось миллионами. Теперь же для рассылки вирусов можно использовать сам Skype. Локальный антивирус — единственное средство обороны, потенциально способное отразить атаку. Но, если он и установлен, распознать неизвестный науке вирус он не в состоянии даже при наличии антивирусных баз первой свежести (эвристика пока все-таки работает больше на рекламу, чем на конечный результат).
Важно, что протокол Skype уже частично расшифрован и созданы хакерские инструменты, позволяющие взаимодействовать со Skype-узлами в обход стандартных Skype-клиентов, и даже без сервера регистрации! И хотя в настоящее время дело ограничивается простым сбором адресов super-узлов, существует принципиальная возможность создания своих собственных сетей на базе распределенной Skype-сети, главная ошибка разработчиков которой заключается в том, что Skype-узлы безоговорочно доверяют друг другу и вся «безопасность» зиждется лишь на закрытости протокола.
Географическое распределение super-узлов Skype по планете
Вирус в скайпе!
Всех рад видеть на просторах моего сайта vahlyaev.ru, и сегодня у меня для Вас очень важное предостережение. Буквально на днях, в российском интернете завёлся вирус в скайпе. Да, и до этого мегапопулярного мессенджера у хакеров руки дошли. Причём не просто дошли, а в полной мере "доработали". Поскольку сейчас, этот вирус распространяется очень быстро в среде скайпо-держателей, и справится с ним и обезопасить себя и свои данные, можно только предприняв дополнительные меры безопасности. Какие именно, мы сегодня с Вами в этой статье и обсудим.
Но, прежде чем рассказать о действенных методах борьбы, давайте сначала рассмотрим наш вирус в скайпе более подробно и разберёмся, что всё-таки он из себя представляет. Так вот, сам вирус из себя представляет классического "червя", который заражает Ваш компьютер вирусом после перехода по неизвестной вредоносной ссылке. Но, в чём кардинальное отличие вируса бродящего по скайпу от обычного "червя" бродящего по интернету, так это в том, что вредоносную ссылку Вы получаете в самом скайпе от авторизованного Вами же пользователя (т.е. человек из вашего списка контактов), причём сам человек, который прислал Вам вредоносную ссылку, естественно не в курсе происходящего.
"Это новый аватар вашего профиля?"
- Запускаем саму программку скайп на компьютере, после чего выбираем "Инструменты", далее "Настройки", как на скриншоте снизу:
После чего у нас открывается следующее окно, где нам нужно выбрать "Дополнительно", и нажать на "Расширенные настройки". После чего обратить свой взор на нижнюю часть окна, где напротив обратных стрелок прописано "Контроль доступа других программ к Skype":
Если Вы всё сделали правильно, то у Вас откроется вот такое окно именуемое как - "Контроль доступа программного интерфейса", которое у Вас должно быть чистым (если всё впорядке):
Если же присутствуют какие-то левые пункты, в данном случае если хоть что-то в этом окне присутствует, смело удаляйте без раздумий. Данное окно должно быть чистым, как лист бумаги А4. " />
Сделав эти не сложные действия, Вы избавите себя и свой компьютер от дальнейшего распространения вируса, но не излечите его полностью. Чтобы полностью избавиться от вируса нужно проверить весь свой компьютер при помощи своего антивируса и сторонних утилит, и удалить этот вирус.
Но, если же ситуация у Вас не столь радужная и компьютер нуждается в скором и немедленном лечении, то здесь на помощь нам придёт замечательная утилита Vba32 AntiRootkit (скачиваем), которая изничтожит гада до пепла , и мы с Вами спокойно порадуемся за свой здоровенький компьютер. " />
В диспетчере задач найди процесс который вызывает подозрение или имеет схожее название с неудаляемым файлом, останови задачу и пробуй удалить.
скачай антивирус и проверь всю систему и ещё программу для удаление приложений и файлов и удали его там
Важно! Переходить по ссылке ни в коем случае нельзя! Иначе на компьютер загрузится вирус, который заражает программы, ворует пароли и блокирует доступ к сайтам с антивирусами.
Но если Вы все же перешли по ссылке и подхватили вирус в скайпе, как удалить его, Вас, наверняка, интересует очень сильно. Поэтому я поделюсь с вами тем, как избавиться от вредоносной программы, а также, как проверить скайп на вирусы.
Что делать, если скайп поражен вирусом?
Прежде всего, нужно приостановить действие вируса и отключить его возможность публиковать информацию, используя другие программы. Для этого следуйте инструкции:
выберите вкладку Дополнительно, а затем – Расширенные настройки;
щелкните по надписи внизу Контроль доступа других программ к Skype;
запустите Skype и выберите сверху вкладку Инструменты. В открывшемся меню зайдите в Настройки; на зараженном компьютере может быть надпись, пример которой представлен на рисунке ниже. Нужно избавиться от этой надписи, нажав кнопку Удалить. Окно обязательно должно быть чистым, то есть не иметь каких-либо записей.
Таким простым способом можно избавить скайп и компьютер от дальнейшего распространения вируса, но полностью от него не избавиться. Для этого лучше использовать специальные утилиты, а также проверить весь компьютер на вирусы. Какие программы использовать для проверки скайпа на вирусы и удаления их?
Можно воспользоваться утилитой VBA32 AntiRootkit. После ее скачивания и запуска откроется окно, в котором нужно будет нажать кнопку No и дождаться загрузки программы. В меню Tools следует выбрать LowLevel DiskAccessTool. Откроется окно, в котором будет прописан путь к папке %AppDatа%. Справа в программе Вы увидите вредоносный файл, который может иметь совершенно бессмысленное название. Нажав на этот файл правой клавишей мыши, выберите из контекстного меню Удалить. Затем следует подтвердить это действие, выйти из утилиты и перезагрузить компьютер.
Запустите программу и перейдите в Настройки. В открывшемся окне
Затем перейдите во вкладку Сканер и выставьте Полное сканирование. Так программа проверит компьютер на наличие вирусов и удалит их. После выполнения данного процесса следует перезагрузить компьютер, а также поменять пароль в скайпе. Сменить пароли рекомендую и в других программах, например, электронной почте.
Вот так можно избавиться от вредоносного «червя». И пусть ваш компьютер будет всегда здоров!
Facebook Если у вас не работает этот способ авторизации, сконвертируйте свой аккаунт по ссылке ВКонтакте Google RAMBLER&Co ID
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Всех рад видеть на просторах моего сайта vahlyaev.ru, и сегодня у меня для Вас очень важное предостережение. Буквально на днях, в российском интернете завёлся вирус в скайпе. Да, и до этого мегапопулярного мессенджера у хакеров руки дошли. Причём не просто дошли, а в полной мере "доработали". Поскольку сейчас, этот вирус распространяется очень быстро в среде скайпо-держателей, и справится с ним и обезопасить себя и свои данные, можно только предприняв дополнительные меры безопасности. Какие именно, мы сегодня с Вами в этой статье и обсудим.
Но, прежде чем рассказать о действенных методах борьбы, давайте сначала рассмотрим наш вирус в скайпе более подробно и разберёмся, что всё-таки он из себя представляет. Так вот, сам вирус из себя представляет классического "червя", который заражает Ваш компьютер вирусом после перехода по неизвестной вредоносной ссылке. Но, в чём кардинальное отличие вируса бродящего по скайпу от обычного "червя" бродящего по интернету, так это в том, что вредоносную ссылку Вы получаете в самом скайпе от авторизованного Вами же пользователя (т.е. человек из вашего списка контактов), причём сам человек, который прислал Вам вредоносную ссылку, естественно не в курсе происходящего.
- Запускаем саму программку скайп на компьютере, после чего выбираем "Инструменты", далее "Настройки", как на скриншоте снизу:
После чего у нас открывается следующее окно, где нам нужно выбрать "Дополнительно", и нажать на "Расширенные настройки". После чего обратить свой взор на нижнюю часть окна, где напротив обратных стрелок прописано "Контроль доступа других программ к Skype":
Если Вы всё сделали правильно, то у Вас откроется вот такое окно именуемое как - "Контроль доступа программного интерфейса", которое у Вас должно быть чистым (если всё впорядке):
Если же присутствуют какие-то левые пункты, в данном случае если хоть что-то в этом окне присутствует, смело удаляйте без раздумий. Данное окно должно быть чистым, как лист бумаги А4.
Сделав эти не сложные действия, Вы избавите себя и свой компьютер от дальнейшего распространения вируса, но не излечите его полностью. Чтобы полностью избавиться от вируса нужно проверить весь свой компьютер при помощи своего антивируса и сторонних утилит, и удалить этот вирус.
Но, если же ситуация у Вас не столь радужная и компьютер нуждается в скором и немедленном лечении, то здесь на помощь нам придёт замечательная утилита Vba32 AntiRootkit (скачиваем), которая изничтожит гада до пепла , и мы с Вами спокойно порадуемся за свой здоровенький компьютер.
Skype представляет собой одну из самых популярных VoIP-программ, установленную на миллионах компьютеров по всему миру, владельцы которых даже и не подозревают, какая опасность им грозит. А опасность им грозит весьма серьезная: от утечки конфиденциальной информации до проникновения червей и попадания на трафик, не говоря уже о таких мелочах, как нежелание Skype работать при активном SoftICE. Я все это благополучно разгрыз и теперь выставляю продукты своей жизнедеятельности на всеобщее обозрение :).
Skype, созданный отцами-основателями скандально известной Kazaa и унаследовавший от своей прародительницы самые худшие ее черты, работает по принципу самоорганизующейся распределенной пиринговой сети (distributed self-organized peer-to-peer network, P2P). Skype – это черный ящик с многоуровневой системой шифрования, напичканного антиотладочными приемами исполняемого файла, считывающий с компьютера конфиденциальную информацию и передающий ее в сеть по закрытому протоколу. Последний обходит брандмауэры и сурово маскирует свой трафик, препятствуя его блокированию. Все это превращает Skype в идеального переносчика вирусов, червей и дронов, создающих свои собственные распределенные сети внутри Skype-сети. К тому же, Skype довольно бесцеремонно обращается с ресурсами твоего узла, используя его для поддержания связи между остальными узлами Skype-сети, напрягая ЦП и генерируя мощный поток трафика. А трафик, как известно, редко бывает бесплатным (особенно в России), так что кажущаяся бесплатность звонков весьма условна: за узлы с «тонкими» каналами расплачиваются «толстые» владельцы.
Skype активно изучается в хакерских лабораториях и security-организациях по всему миру, и большинство исследователей единодушно сходятся во мнении, что Skype - это дьявольски хитрая программа, написанная бесспорно талантливыми людьми в стиле
Black Magic Art. Skype не брезгует грязными трюками, создающими огромные проблемы, о которых я и собираюсь рассказать.
Анализ исполняемого файла Skype
Исполняемый файл Skype-клиента представляет собой настоящий шедевр хакерского искусства, вобравший в себя множество интересных и достаточно могучих защитных механизмов. Для противодействия им требуются не только мощные инструментальные средства (отладчики, дизассемблеры, дамперы и т.д.) и знания/навыки, но еще и куча свободного времени.
Двоичный файл полностью зашифрован и динамически расшифровывается по мере загрузки в память. Причем сброс дампа невозможен, точнее, затруднен тем обстоятельством, что стартовый код после выполнения очищается, в результате чего мы получаем exe, который не запускается. Оригинальная таблица импорта не содержит ничего интересного, и API-функции подключаются уже в процессе распаковки. Проверка целостности кода выполняется из разных мест в случайном порядке (преимущественно при входящих звонках), поэтому поиск защитных процедур представляет собой весьма нетривиальную задачу. Тем более что они основаны на криптографических RSA-сигнатурах и снабжены полиморфными генераторами, которые в случайном порядке переставляют инструкции ADD, XOR, SUB и др., перемешивая их с левыми машинными командами.
Статический вызов функций (по жестко прописанному адресу) практически не встречается, и все важные процедуры вызываются по динамически вычисляемому указателю, пропущенному через обфускатор. Следовательно, дизассемблер нам тут уже не поможет, и приходится браться за отладчик.
А вот про отладчик следует сказать отдельно. Skype распознает
SoftICE даже при наличии установленного IceExt, наотрез отказываясь запускаться. Это забавно, поскольку для взлома самого Skype отладчик
SoftICE не очень-то и нужен, ведь существуют и другие инструменты подобного рода, среди которых в первую очередь хотелось бы отметить
The Rasta Ring 0 Debugger, или сокращенно [RR0D], не обнаруживаемый Skype-клиентом и, как и следует из его названия, работающий на уровне ядра. В принципе, можно воспользоваться и отладчиком прикладного уровня (например, стремительно набирающим популярность
OllyDbg). Только при этом важно помнить, что Skype легко обнаруживает программные точки останова, представляющие собой однобайтовую машинную инструкцию с опкодом CCh, записывающуюся поверх отлаживаемого кода. А для предотвращения пошаговой трассировки Skype осуществляет замеры времени выполнения определенных участков кода, для прохождения через которые приходится использовать полноценные эмуляторы PC с интегрированным отладчиком, например, знаменитый
BOCHS.
Наконец, когда исполняемый файл распакован и все проверки пройдены, защита вычисляет контрольную сумму и преобразует ее в указатель, по которому передается управление, пробуждающее
Skype.
Последовательность распаковки исполняемого
файла
Антиотладочные приемы, с помощью которых Skype обнаруживает загруженный SoftICE
Проблема в том, что Skype очень следит за своей целостью, поэтому попытка исправления jnz на jmp short работает только до первого входящего звонка, после которого Skype падает и обратно уже не поднимается. Специально для таких хитроумных защит еще во времена MS-DOS была разработана техника онлайн-патча, при которой исправление программы осуществляется непосредственно в оперативной памяти, а после успешного прохождения проверки на наличие
SoftICE совершается откат, чтобы не волновать процедуру проверки целости.
Беглая трассировка Skype с помощью OllyDbg быстро выявляет защитный код, выполняющий проверку на присутствие SoftICE
Архитектура распределенной сети
На атомарном уровне структура Skype-сети состоит из обычных узлов (normal/ordinal node/host/nest), обозначаемых аббревиатурой SC (Skype
Client), и super-узлов (super node/host/nest), которым соответствует аббревиатура SN. Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами. В этом и состоит суть самоорганизующейся распределенной децентрализованной пиринговой сети, единственным централизованным элементом которой является
Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.
Важно подчеркнуть, что связь между узлами осуществляется не напрямую, а через цепочку super-узлов. Серверов в общепринятом смысле этого слова (таких, например, как в сети eDonkey) в Skype-сети нет. Любой узел с установленным Skype-клиентом является потенциальным сервером, которым он автоматически становится при наличии достаточных системных ресурсов (объема оперативной памяти, быстродействия процессора и пропускной способности сетевого канала).
Каждый узел Skype-сети хранит перечень IP-адресов и портов известных ему super-узлов в динамически обновляемых кэш-таблицах (Host Cache Tables, HC-tables). Начиная с версии Skype 1.0, кэш-таблица представляет собой простой XML-файл, в незашифрованном виде записанный на диске в домашней директории пользователя.
Структура децентрализованной самоорганизующейся пиринговой
Skype-сети
Skype-клиенты за отдельную плату могут принимать входящие звонки с обычных телефонов и совершать подобные звонки. Однако в PC2PC-обмене эти серверы никак не участвуют, поэтому мы не будем на них останавливаться.
Помимо звонков внутри Skype-сети, пользователи могут звонить и на обычные телефоны, а также принимать с них звонки.
Читайте также: