Открытые окошки
29 июня 2016
Сейчас компьютеры окружают нас не только на работе, но и дома. В случае срочной работы на дому даже не надо вставать с дивана и идти в соседнюю комнату. Гораздо удобнее использовать удаленный доступ. Получить удаленный доступ к компьютеру на основе MS Windows (да и иных операционных систем тоже) можно по протоколу RDP (так, в состав MS Windows входит компонент Подключение к удаленному рабочему столу), но можно и установить специальную программу — выбор достаточно обширен — Radmin, TeamViewer... (небольшой обзор части программ доступен здесь и здесь)
Одно но — наличие удаленного доступа вместе с традиционно слабыми паролями (и неизвестными уязвимостями) — отличный подарок злоумышленникам.
«Я сидел на стуле [за компьютером] и увидел, как курсор начал самостоятельно двигаться по экрану. Конечно, я тут же отключил удаленный контроль и спросил [хакера], кто он такой», — пишет другой пострадавший на Reddit. — «Он тут же отключился, но попытался войти на мой сервер Ubuntu, где я храню все свои бекапы. Хорошо, что я вошел на сервер сразу же, как только он отключился от компьютера. Я отключил его прежде, чем он успел запустить Firefox. Поле этого я начал паниковать и подумал, что он только что похитил все мои пароли».
Настоящая паника поднялась в стане пользователей TeamViewer в ночь с первого на второе июня. Серверы компании и официальный сайт были недоступны на протяжении нескольких часов, и одновременно с этим Reddit и социальные сети начали стремительно наполняться сообщениями от пользователей, которые писали о взломах и хищении денежных средств. Официальные представители TeamViewer уверяют, что компанию не ломали, а недоступность своих сервисов объясняют проблемами с DNS.
«Сдать» компьютер злоумышленникам можно, даже просто установив программу удаленного управления.
В сети Интернет был обнаружен инсталлятор TeamViewer, в состав которого злоумышленниками был встроен бэкдор. Необходимо отметить, что в состав данного дистрибутива входил TeamViewer версии 6.0.17222.0, выпущенный еще в декабре 2010 года.
Активно используют программы удаленного управления и злоумышленники.
Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer.
Так, Trojan.MulDrop6.39120, реализованный под видом обновления Adobe Flash Player, не только устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.
Обычно троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память. После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках.
Антивирусная правДА! рекомендует
- Не устанавливайте программы из неизвестных источников — это, скорее всего, зараженные пиратские версии. Загружайте их с официальных сайтов разработчиков (правообладателей).
- Установка пиратских версий критически важного ПО — катастрофически опасна. Благодетели-пираты давно вымерли, и взломанная версия, скорее всего, содержит троянца.
- Работайте на компьютере под аккаунтом, у которого отсутствуют права на установку программ. В обычной жизни эти права требуются редко, а вот вредоносным программам отсутствие этих прав существенно усложнит жизнь.
- Периодически контролируйте состав установленных программ и список автозагрузки. Если вы используете MS Windows — нажмите Пуск → Панель управления → Программы и компоненты и просмотрите список установленных программ. Если вы нашли программы, которые вы не запускали или не устанавливали, поищите информацию о них в Интернете — вполне возможно, что они на вашем компьютере совсем не нужны.
- Не оставляйте открытыми ненужные порты на вашем компьютере. Определить правила поведения для используемых вами программ и узнать список используемых ими портов можно с помощью компонента Брандмауэр, входящего в Dr.Web Security Space.
Для настройки встроенного Брандмауэра Windows нажмите Пуск → Панель управления → Брандмауэр Windows.
- Если вам не нужен полный доступ, а требуется управлять только антивирусной защитой, то вы можете использовать компонент Антивирусная Сеть, входящий в Dr.Web Security Space.
Чтобы запустить его, выберите пункт в меню Агента Инструменты → Антивирусная сеть.
Пункт Антивирусная сеть доступен только в Административном режиме.
Для доступа к удаленному антивирусу выберите компьютер в списке и нажмите кнопку Подключиться.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
07:45:20 2020-03-17
Rider
22:43:22 2018-12-04
Денисенко Павел Андреевич
16:00:59 2018-08-04
ka_s
20:30:44 2018-07-10
vasvet
14:03:17 2018-03-31
alex-diesel
12:58:49 2018-03-10
Toma
18:04:33 2018-02-01
eaglebuk
21:47:31 2017-02-05
cruise
12:24:17 2017-02-03
качаю TeamViewer только с официального сайта...
Zserg
22:45:28 2016-11-09
2018
18:21:12 2016-07-29
"Антивирусная сеть." - не знал.
Вячeслaв
10:01:53 2016-07-25
Нужно:
- если машина личная и не планируется на нее удаленно заходить- удалить подобные сервисы
- работать под пользователем, не имеющем прав установки программ
- если подобные программы установлены, разрешить их запуск определенным пользователям - и в "обычной жизни" под этими пользователями не работать
tigra
05:56:12 2016-07-22
Sergio
11:31:39 2016-06-30
У меня была ситуация однажды с Radmin'ом интересная - взломали пароль, но ничего сделать не смогли, так как стоял антивирус и пароль на настройки. Долго я наблюдал как пытались подобрать пароль на настройки "Доктора Веба", но им не удалось.)))
После этого я стараюсь удалять программы удаленного доступа с компьютера, если в ней нет необходимости.
Кирилл
11:18:05 2016-06-30
Неуёмный Обыватель
02:49:12 2016-06-30
Неуёмный Обыватель
00:50:20 2016-06-30
"Периодически контролируйте состав установленных программ и список автозагрузки. Если вы используете MS Windows — нажмите Пуск → Панель управления → Программы и компоненты и просмотрите список установленных программ. Если вы нашли программы, которые вы не запускали или не устанавливали, поищите информацию о них в Интернете — вполне возможно, что они на вашем компьютере совсем не нужны."
--
Может быть она и правильная, но очень непросто рядовому пользователю во всем этом разобраться.
Было бы неплохо, если бы какая-нибудь серьезная контора (наподобие DrWeb) организовала бы некий онлайн-сервис, в котором можно было бы узнать какая программа для чего и уровень критичности её удаления с компьютера. например, в этом сервисе можно было бы найти по наименованию программы или по имени запущенного процесса.
Просто если послушаться совета "поищите в Интернете для чего эта программа", то недалеко и до беды, ибо в интернете такого могут понаписать...
Неуёмный Обыватель
00:18:29 2016-06-30
A1037
00:00:11 2016-06-30
Nice
23:25:02 2016-06-29
djabax
22:46:23 2016-06-29
Р...й
22:46:19 2016-06-29
В...а
22:34:21 2016-06-29
razgen
22:29:25 2016-06-29
tosya
22:21:54 2016-06-29
anto-s
22:13:38 2016-06-29
НинаК
20:34:05 2016-06-29
Dvakota
20:18:11 2016-06-29
mk.insta
19:59:10 2016-06-29
Роза
19:37:51 2016-06-29
Неуёмный Обыватель
19:20:28 2016-06-29
bob123456
18:00:22 2016-06-29
bob123456
17:57:30 2016-06-29
azimut
17:52:43 2016-06-29
samox
17:49:28 2016-06-29
Zevs_46
17:46:42 2016-06-29
Tetania Zeta
17:45:11 2016-06-29
Кирилл
17:39:10 2016-06-29
Nikodim2011
17:38:27 2016-06-29
Zulfat
17:23:07 2016-06-29
Viktoria
17:12:12 2016-06-29
ada
17:01:27 2016-06-29
KAA
16:51:26 2016-06-29
Неуёмный Обыватель
15:25:11 2016-06-29
Так вот. К этому самому Ammyy Admin даже рекомендация "Не устанавливайте программы из неизвестных источников — это, скорее всего, зараженные пиратские версии. Загружайте их с официальных сайтов разработчиков" не применима. Ибо сайт разработчика неоднократно взламывался и посетителям вместо оригинального дистрибутива приходилось скачивать подсунутый злоумышленниками целый букет встроенных в дистрибутив зловредных программ. Уже сам факт того, что правообладатель и разработчик допускает такую неоднократную неконтролируемую подмену своих дистрибутивов заставляет усомниться в благих намерениях самих разработчиков. будьте бдительны товарищи! Не доверяйте свой ПК смутным программам. Ведь вы же не пустите бесконтрольно посидеть несколько часов на своем ПК первого попавшегося на улице? Вот и здесь то же самое, только вы не будете видеть и знать, что делает эта первая попавшаяся программа у вас.
Deniskaponchik
15:19:37 2016-06-29
Неуёмный Обыватель
14:49:00 2016-06-29
PITONMAN
13:03:40 2016-06-29
ivan.ivanov1904
12:42:19 2016-06-29
Александр Ш.
12:33:00 2016-06-29
Александр Ш.
12:02:37 2016-06-29