Как все запущено!
20 октября 2016
В выпуске «Заходите, дверь открыта» мы уже писали о том, что в системе не должно быть неиспользуемых сервисов. Сегодня мы обращаем внимание читателей на то, что доступ к необходимым сервисам должен быть под контролем.
Представители семейства троянцев Trojan.PWS.Siggen1.57790 (он же Trojan.sysscan) проникают в систему через открытые RDP.
RDP (англ. Remote Desktop Protocol — протокол удаленного рабочего стола) — протокол, использующийся для обеспечения удаленной работы пользователя с сервером, на котором запущен сервис терминальных подключений.
Для этого хакеры сканируют доступные в сети ресурсы (возможно, даже через поисковик https://www.shodan.io, о котором мы рассказывали) и в случае обнаружения пытаются подобрать пароль методом перебора («брутфорса»).
Trojan.PWS.Siggen1.57790 может похищать пароли к используемым сервисам и приложениям, базам данных, ПО для PoS-терминалов, параметры авторизации на банковских, налоговых и букмекерских сайтах.
Особенностью Trojan.PWS.Siggen1.57790 является то, что он пытается определить, не запущен ли он на виртуальной машине или в «песочнице», а также регистрирует в скомпрометированной системе скрытую учетную запись администратора – возможно, для удаленного доступа злоумышленников.
Открытая дверь для честных людей... Ворам не придется ее ломать, и она останется вам на память, когда вы вернетесь в обворованный дом.
#троянец #удаленный_доступ #пароль #безопасность #терминологияАнтивирусная правДА! рекомендует
Узнать, какие службы запущены у вас на ПК, можно двумя путями:
Пуск → Выполнить → написать в командной строке services.msc → нажать ОК
или
Панель управления → Переключение к классическому виду → Администрирование → Службы.Открыв это окно, вы можете проверить, не запущены ли у вас потенциально опасные службы, делающие ваш компьютер уязвимым для внешних вторжений:
- Удаленный реестр (RemoteRegistry) — позволяет удаленным пользователям изменять параметры реестра на вашем компьютере; если остановить эту службу, реестр может быть изменен только локальными пользователями, работающими на компьютере.
- Службы терминалов (TermService) — служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола, удаленного администрирования, удаленного помощника и служб терминалов.
- Служба сообщений (Messenger) — посылает выбранным пользователям и компьютерам административные оповещения. При отсутствии сети (и, соответственно, администратора) абсолютно бесполезна. Никакого отношения к программе Windows/MSN Messenger эта служба не имеет.
- Служба обнаружения SSDP (SSDPSRV) — включает обнаружение UPnP-устройств в домашней сети. UPnP, или Universal Plug and Play — это универсальная автоматическая настройка и подключение сетевых устройств друг к другу, в результате чего сеть (например, домашняя) может стать доступной большему числу людей.
- Оповещатель (Alerter) — посылает выбранным пользователям и компьютерам административные оповещения. В домашних условиях служба не нужна.
- Планировщик заданий (Shedule) — позволяет настраивать расписание автоматического выполнения задач на компьютере. Автоматически запускает различные приложения, программы, скрипты, функцию резервного копирования в запланированное вами время. Служба может использоваться вредоносным ПО для автозагрузки. Но учтите, что эту службу может использовать и легитимное ПО.
- NetMeeting Remote Desktop Sharing (mnmsrvc) — разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting.
- Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) — управляет возможностями Удаленного помощника.
- Telnet — позволяет удаленному пользователю входить в систему и запускать программы.
Этот список не полон!
Изучите запущенные сервисы, найдите информацию об их назначении и отключите лишние.
- Если вы используете RDP, то можете настроить его на подключение только с определенных адресов.
- Надежные пароли — это спокойный сон. Только не нужно думать, что, набрав русское слово по-английски, вы окажетесь умнее всех хакеров мира.
- Периодически меняйте свои пароли — вполне возможно, что очередная утечка уже скомпрометировала их.
- Проверить пароли на стойкость к взлому можно с помощью специальных утилит.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Любитель пляжного футбола
14:49:13 2020-06-13
Sasha50
13:56:27 2019-01-30
Toma
17:28:45 2018-09-05
ka_s
10:33:02 2018-09-01
Денисенко Павел Андреевич
22:47:33 2018-08-02
vasvet
05:43:21 2018-04-05
alex-diesel
14:59:09 2018-03-23
даже с установленным Dr.Web обычный пользователь вынужден все больше сил, времени и знаний тратить на безопасность. Иногда кажется, то слишком дорого обходится интернет, всякие сервисы, да и вся эта информационная революция ))
Любитель пляжного футбола
19:56:01 2017-02-12
eaglebuk
12:21:38 2017-02-05
Шалтай Александр Болтай
18:13:34 2017-02-04
Otvagin
18:48:33 2016-12-14
azimut
19:09:16 2016-12-09
vla_va
23:08:27 2016-10-21
ek
21:58:52 2016-10-21
kva-kva
21:32:41 2016-10-21
mk.insta
20:40:32 2016-10-21
sania2186
11:29:42 2016-10-21
Вячeслaв
10:59:40 2016-10-21
Мы извиняемся и благодарим за понимание
razgen
23:46:24 2016-10-20
Обнаружил следующее - два названия служб совпало с указанными, два имеют другое название, а пять не смог вообще найти.
Итак по порядку:
1. Удаленный реестр - не работает.
2. Службы терминалов (TermService) - у меня называется "Службы удалённых рабочих столов " – не работает.
3. Служба сообщений (Messenger) - служба с таким названием отсутствует.
4. Служба обнаружения SSDP (SSDPSRV) – у меня называется " Обнаружение SSDP "- РАБОТАЕТ.
5. Оповещатель (Alerter) - служба с таким названием отсутствует.
6. Планировщик заданий (Shedule) – РАБОТАЕТ.
7. NetMeeting Remote Desktop Sharing (mnmsrvc) - служба с таким названием отсутствует.
8. Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) - служба с таким названием отсутствует.
9. Telnet - служба с таким названием отсутствует.
ОС Windows 7
stavkafon
22:56:07 2016-10-20
Неуёмный Обыватель
22:47:00 2016-10-20
solec
22:17:04 2016-10-20
Б...а
21:36:36 2016-10-20
Luger
21:03:42 2016-10-20
2018
20:39:32 2016-10-20
dyadya_Sasha
20:08:26 2016-10-20
Dvakota
20:08:01 2016-10-20
dyadya_Sasha
19:59:35 2016-10-20
Правильно говаривал руководитель. А что делать, если забыл не то, что писал, но даже и куда писал?:)))
Альфа
19:14:25 2016-10-20
Deniskaponchik
18:25:34 2016-10-20
bob123456
18:11:34 2016-10-20
Alix
18:00:30 2016-10-20
Ruslan
17:58:28 2016-10-20
krant
17:39:37 2016-10-20
DrKV
16:54:17 2016-10-20
Был у нас один руководитель, который говаривал: "даже самый тупо заточенный карандаш заменяет самую острую память". Это я к тому, что если что-то отключаешь - обязательно где-нибудь запиши!
B0RIS
16:39:17 2016-10-20
Димыч
16:28:22 2016-10-20
maxtat
16:02:00 2016-10-20
samos
16:00:58 2016-10-20
Геральт
14:57:36 2016-10-20
Неуёмный Обыватель
13:43:04 2016-10-20
А по поводу лазить или не лазить в настройки ОС, то конечно, лучше не лазить неискушенному. "Не уверен, не обгоняй" когда-то писали на левом заднем углу грузовика. Просто в комментариях к выпускам неоднократно звучала просьба привести хоть какие-то рекомендации по сервисам нужным или ненужным. Вот выпускающие и откликнулись :)
Дмитpий
12:11:33 2016-10-20
ada
12:02:48 2016-10-20
Viktoria
11:59:09 2016-10-20
Azat
11:53:36 2016-10-20
Tom
11:40:14 2016-10-20
Mehatronik
10:51:20 2016-10-20
Hazal
10:22:54 2016-10-20
GREII
10:21:33 2016-10-20
Zulfat
10:17:25 2016-10-20