Как все запущено!

Незваные гости

добавить в избранное

Как все запущено!

Прочитали: 13071 Комментариев: 66 Рейтинг: 313

20 октября 2016

В выпуске «Заходите, дверь открыта» мы уже писали о том, что в системе не должно быть неиспользуемых сервисов. Сегодня мы обращаем внимание читателей на то, что доступ к необходимым сервисам должен быть под контролем.

Представители семейства троянцев Trojan.PWS.Siggen1.57790 (он же Trojan.sysscan) проникают в систему через открытые RDP.

RDP (англ. Remote Desktop Protocol — протокол удаленного рабочего стола) — протокол, использующийся для обеспечения удаленной работы пользователя с сервером, на котором запущен сервис терминальных подключений.

Для этого хакеры сканируют доступные в сети ресурсы (возможно, даже через поисковик https://www.shodan.io, о котором мы рассказывали) и в случае обнаружения пытаются подобрать пароль методом перебора («брутфорса»).

Trojan.PWS.Siggen1.57790 может похищать пароли к используемым сервисам и приложениям, базам данных, ПО для PoS-терминалов, параметры авторизации на банковских, налоговых и букмекерских сайтах.

Особенностью Trojan.PWS.Siggen1.57790 является то, что он пытается определить, не запущен ли он на виртуальной машине или в «песочнице», а также регистрирует в скомпрометированной системе скрытую учетную запись администратора – возможно, для удаленного доступа злоумышленников.

Открытая дверь для честных людей... Ворам не придется ее ломать, и она останется вам на память, когда вы вернетесь в обворованный дом.

#троянец #удаленный_доступ #пароль #безопасность #терминология

Антивирусная правДА! рекомендует

Узнать, какие службы запущены у вас на ПК, можно двумя путями:
Пуск → Выполнить → написать в командной строке services.msc → нажать ОК
или
Панель управления → Переключение к классическому виду → Администрирование → Службы.

Открыв это окно, вы можете проверить, не запущены ли у вас потенциально опасные службы, делающие ваш компьютер уязвимым для внешних вторжений:
1. Удаленный реестр (RemoteRegistry) — позволяет удаленным пользователям изменять параметры реестра на вашем компьютере; если остановить эту службу, реестр может быть изменен только локальными пользователями, работающими на компьютере.
2. Службы терминалов (TermService) — служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола, удаленного администрирования, удаленного помощника и служб терминалов.
3. Служба сообщений (Messenger) — посылает выбранным пользователям и компьютерам административные оповещения. При отсутствии сети (и, соответственно, администратора) абсолютно бесполезна. Никакого отношения к программе Windows/MSN Messenger эта служба не имеет.
4. Служба обнаружения SSDP (SSDPSRV) — включает обнаружение UPnP-устройств в домашней сети. UPnP, или Universal Plug and Play — это универсальная автоматическая настройка и подключение сетевых устройств друг к другу, в результате чего сеть (например, домашняя) может стать доступной большему числу людей.
5. Оповещатель (Alerter) — посылает выбранным пользователям и компьютерам административные оповещения. В домашних условиях служба не нужна.
6. Планировщик заданий (Shedule) — позволяет настраивать расписание автоматического выполнения задач на компьютере. Автоматически запускает различные приложения, программы, скрипты, функцию резервного копирования в запланированное вами время. Служба может использоваться вредоносным ПО для автозагрузки. Но учтите, что эту службу может использовать и легитимное ПО.
7. NetMeeting Remote Desktop Sharing (mnmsrvc) — разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting.
8. Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) — управляет возможностями Удаленного помощника.
9. Telnet — позволяет удаленному пользователю входить в систему и запускать программы.
Этот список не полон!

Изучите запущенные сервисы, найдите информацию об их назначении и отключите лишние.
Если вы используете RDP, то можете настроить его на подключение только с определенных адресов.
Надежные пароли — это спокойный сон. Только не нужно думать, что, набрав русское слово по-английски, вы окажетесь умнее всех хакеров мира.
Периодически меняйте свои пароли — вполне возможно, что очередная утечка уже скомпрометировала их.
Проверить пароли на стойкость к взлому можно с помощью специальных утилит.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Любитель пляжного футбола Собкор
14:49:13 2020-06-13

Жаль, поиск этих служб не работает (по команде Ctrl+F), сэкономило бы время. Службы могут называться и несколько по-другому, к примеру, "Служба обнаружения SSDP". У меня называется просто "Обнаружение SSDP".

Sasha50 Собкор
13:56:27 2019-01-30

Хороший выпуск. Как только я его пропустил? Добавил в избранное.

Toma
17:28:45 2018-09-05

Очередное напоминание об использовании надежных паролей, спасибо!

ka_s
10:33:02 2018-09-01

Каких-то 50 лет назад в деревне двери в дом вообще не закрывали на ключ.

Денисенко Павел Андреевич
22:47:33 2018-08-02

Не стоит проверять на стойкость пароли с помощью каких-либо утилит.

vasvet
05:43:21 2018-04-05

Много хороших, дельных советов.

alex-diesel Собкор
14:59:09 2018-03-23

все сложнее держать оборону.
даже с установленным Dr.Web обычный пользователь вынужден все больше сил, времени и знаний тратить на безопасность. Иногда кажется, то слишком дорого обходится интернет, всякие сервисы, да и вся эта информационная революция ))

Любитель пляжного футбола Собкор
19:56:01 2017-02-12

Спасибо за статью, добавил в избранное.

eaglebuk
12:21:38 2017-02-05

20-значный пароль на сервере с RDP и блокировка акаунта после 5 неправильных вводов пароля

Шалтай Александр Болтай Собкор
18:13:34 2017-02-04

— Запущена программа поддержки малого и среднего бизнеса! Запущена программа поддержки аграриев, а так же студентов, бюджетников, многодетных, пенсионеров... — Как всё запущено!

Otvagin
18:48:33 2016-12-14

Даже сохранил себе.

azimut
19:09:16 2016-12-09

Как все запущено!

vla_va
23:08:27 2016-10-21

не для обычных людей

ek
21:58:52 2016-10-21

только верить защите

kva-kva
21:32:41 2016-10-21

тут грамотность нужна

mk.insta
20:40:32 2016-10-21

дверка не закрыта

sania2186
11:29:42 2016-10-21

Надежные пароли — это спокойный сон

Вячeслaв Собкор
10:59:40 2016-10-21

@razgen, проблема формата нашего проекта. мы пытались делать выпуски с подробными инструкциями... Список процессов различается для различных версий Windows, как отличаются и процедуры, которые нужно проделать для изменения статуса процесса. Если описать необходимые действия для ОС начиная с Windows XP - получится длиннейшая портянка.
Мы извиняемся и благодарим за понимание

razgen Собкор
23:46:24 2016-10-20

Решил проверить согласно указанным рекомендациям на предмет, не запущены ли у меня потенциально опасные перечисленные службы.
Обнаружил следующее - два названия служб совпало с указанными, два имеют другое название, а пять не смог вообще найти.
Итак по порядку:

1. Удаленный реестр - не работает.

2. Службы терминалов (TermService) - у меня называется "Службы удалённых рабочих столов " – не работает.

3. Служба сообщений (Messenger) - служба с таким названием отсутствует.

4. Служба обнаружения SSDP (SSDPSRV) – у меня называется " Обнаружение SSDP "- РАБОТАЕТ.

5. Оповещатель (Alerter) - служба с таким названием отсутствует.

6. Планировщик заданий (Shedule) – РАБОТАЕТ.

7. NetMeeting Remote Desktop Sharing (mnmsrvc) - служба с таким названием отсутствует.

8. Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) - служба с таким названием отсутствует.

9. Telnet - служба с таким названием отсутствует.

ОС Windows 7

stavkafon
22:56:07 2016-10-20

Спасибо за советы!

Неуёмный Обыватель Собкор
22:47:00 2016-10-20

Так-то да. Иногда беспечность сисадминов в плане RDP поражает. Никаких ограничений, один и тот же пароль на века и так далее. Иногда случайно попадаю на серверы, к которым мне давали доступ по rdp очень длительное время назад. Оказывается, спустя годы, логин-пароль всё еще подходят.

solec
22:17:04 2016-10-20

Возьмем на заметку.

Б...а
21:36:36 2016-10-20

Пароли меняються регулярно,главное не забыть )

Luger Собкор
21:03:42 2016-10-20

Ничего лишнего не обнаружил.

2018
20:39:32 2016-10-20

понаотключал разного. главное помню, что отключал.

dyadya_Sasha Собкор
20:08:26 2016-10-20

Проверил настройки служб на своем ПК. Что надо включено, что не надо уже отключено. Понял (и комментарии многих подтвердили), что можно не заморачиваться. Windows тоже не дура и о своей безопасности беспокоится. В службы надо заглядывать, когда есть подозрение на то не знаю что, которое странно себя ведет и достает своим странным поведением.

Dvakota
20:08:01 2016-10-20

Можно дров наломать .

dyadya_Sasha Собкор
19:59:35 2016-10-20

@Karpensky, "...даже самый тупо заточенный карандаш заменяет самую острую память..."
Правильно говаривал руководитель. А что делать, если забыл не то, что писал, но даже и куда писал?:)))

Альфа
19:14:25 2016-10-20

Обязательно проверим.

Deniskaponchik Собкор
18:25:34 2016-10-20

Как много открытых дверей, как много открытых умов

bob123456 Собкор
18:11:34 2016-10-20

Пусть лучше всего включает или отключает службы тот, кто точно знает что делать и для чего эти службы нужны. А то неопытный пользователь что-то отключит и не поймёт, почему у него перестало работать то или иное устройство (программное обеспечение). Так что для рядовых пользователей пусть все настройки будут по умолчанию. Ведь Виндоус не скажет о том, что нужно включить (отключить) ту или иную службу. Кстати, Майкрософту давно надо было бы сделать подобные подсказки, но видимо тут как раз расчёт именно на опытных пользователей.

Alix
18:00:30 2016-10-20

Полезно, спасибо!

Ruslan
17:58:28 2016-10-20

Очень познавательная и нужная статья. Благодарю за информацию!

krant
17:39:37 2016-10-20

Спасибо. Стоит принять во внимание.

DrKV Собкор
16:54:17 2016-10-20

Вот как-то, помнится, отключил по рекомендации из статьи уважаемого компьютерного журнала какую-то "ненужную" службу (как мне показалось), а спустя определённое время не смог установить веб-камеру. Ох, долго я вспоминал, мозг закипел. Хорошо, что вспомнил.
Был у нас один руководитель, который говаривал: "даже самый тупо заточенный карандаш заменяет самую острую память". Это я к тому, что если что-то отключаешь - обязательно где-нибудь запиши!

B0RIS
16:39:17 2016-10-20

А если набрать два жаргонных русских слова по-английски то подбирать будут дольше )

Димыч
16:28:22 2016-10-20

Спасибо позновательно !

maxtat
16:02:00 2016-10-20

Спасибо. Рекомендации пригодятся.

samos
16:00:58 2016-10-20

Спасибо проверим.

Геральт Собкор
14:57:36 2016-10-20

Надо бы проверить какие службы запущены.

Неуёмный Обыватель Собкор
13:43:04 2016-10-20

Я тоже некоторое время назад думал, что, набрав русское слово по-английски, я оказался умнее всех хакеров мира вместе взятых. Нет, хакеров не обнаружил, просто прозрел малясь :)
А по поводу лазить или не лазить в настройки ОС, то конечно, лучше не лазить неискушенному. "Не уверен, не обгоняй" когда-то писали на левом заднем углу грузовика. Просто в комментариях к выпускам неоднократно звучала просьба привести хоть какие-то рекомендации по сервисам нужным или ненужным. Вот выпускающие и откликнулись :)

Дмитpий Собкор
12:11:33 2016-10-20

Раз уж дело дошло до внесения изменений в функциональность ОС, неплохо было бы рекомендовать пользователю завести журнал. Действительно, рекомендованные к отключению в списке службы врядли нужны подавляющему большинству пользователей, но также велика вероятность того, что решившись на данный шаг пользователь не ограничится только этим списком :)

ada
12:02:48 2016-10-20

Спасибо за интересную информацию.Занесла в библиотеку.

Viktoria
11:59:09 2016-10-20

Спасибо. Будем знать.

Azat
11:53:36 2016-10-20

В статье речь идёт о потенциальных рисках.

Tom
11:40:14 2016-10-20

Правильно firewall настраивать надо.

Mehatronik
10:51:20 2016-10-20

Полезная инфа. Спасибо)

Hazal
10:22:54 2016-10-20

Береженого Бог бережёт!

GREII Собкор
10:21:33 2016-10-20

для быстродействия старого железа- может и поможет,а так то нужен антивирус и спасибо -за то, что есть кнопка "забыл пароль" тк частая смена паролей приводит именно к ней

Zulfat
10:17:25 2016-10-20

Сложно это для простого пользователя.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Как все запущено!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей