Коли антивірус безсилий
Мені часто доводиться лагодити домашні комп'ютери знайомим і друзям. Благо є досвід і деякі навички. Від звичайних вірусів рятують антивіруси. Але коли тільки-тільки з'явився Trojan.Winlock, це було великою проблемою, тому що модифікацій у нього море і жоден антивірус не справлявся оперативно з таким потоком. Довелося вчитися робити очищення вручну. Щоб з цим розібратися в перший раз, було витрачено достатньо часу, годин 5, але тепер вся процедура займає від сили 10 хвилин.
Але нещодавно я зіткнувся з чимось незвичайним, що було дуже схоже на чергове Trojan.Winlock вимагання. Для користувача це виглядало так, що всі сайти відкриваються нормально, але ось з сайтом «Вконтакте» прямо біда - замість звичайного входу вимагають надіслати грошей. Це явно фішингова атака!
Звідки ж йде атака і чому ні антивіруси, ні ручна чистка не рятують?
Комп'ютер при ретельній перевірці виявився абсолютно чистим.
Вихідні дані. На домашньому комп'ютері стоїть Windows 7, де за замовчуванням включено протокол IPv6. Атака почалася раптово, після перезавантаження комп'ютера. Ніякі додаткові програми не встановлювалися, флешки не вставлялися.
Було встановлено, що фішинговий сайт активізується шляхом підміни IP-адреси справжнього Вконтакте, при цьому локальний файл hosts залишається чистим і всі системні файли не заражені. Шляхом копіткого аналізу в локальній мережі провайдера було знайдено завірусований DHCP-сервер, який за запитом видає ліві адреси DNS-сервера, звернення до яких призводять на фішингову сторінку. DHCP-сервер, як Ви вже, напевно, здогадалися - побудований на протоколі IPv6, який ніяк не контролюється провайдером. Провайдер працює на IPv4. Що в каналі відбувається з IPv6 йому невідомо.
У підсумку допомогло відключення протоколу IPv6 у налаштуваннях Windows 7.
Але найцікавіше - це те, що неможливо очистити комп'ютер від подібних атак за допомогою антивірусних засобів. Вони, після ретельного сканування файлів, показують - ваш комп'ютер не заражений. І це дійсно так. Але зайти на справжній Вконтакте неможливо.