Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (29)
  • добавить в избранное
    Добавить в закладки

Как все запущено!

Прочитали: 4594 Комментариев: 118 Рейтинг: 291

В выпуске «Заходите, дверь открыта» мы уже писали о том, что в системе не должно быть неиспользуемых сервисов. Сегодня мы обращаем внимание читателей на то, что доступ к необходимым сервисам должен быть под контролем.

Представители семейства троянцев Trojan.PWS.Siggen1.57790 (он же Trojan.sysscan) проникают в систему через открытые RDP.

RDP (англ. Remote Desktop Protocol — протокол удаленного рабочего стола) — протокол, использующийся для обеспечения удаленной работы пользователя с сервером, на котором запущен сервис терминальных подключений.

Для этого хакеры сканируют доступные в сети ресурсы (возможно, даже через поисковик https://www.shodan.io, о котором мы рассказывали) и в случае обнаружения пытаются подобрать пароль методом перебора («брутфорса»).

Trojan.PWS.Siggen1.57790 может похищать пароли к используемым сервисам и приложениям, базам данных, ПО для PoS-терминалов, параметры авторизации на банковских, налоговых и букмекерских сайтах.

Особенностью Trojan.PWS.Siggen1.57790 является то, что он пытается определить, не запущен ли он на виртуальной машине или в «песочнице», а также регистрирует в скомпрометированной системе скрытую учетную запись администратора – возможно, для удаленного доступа злоумышленников.

Открытая дверь для честных людей... Ворам не придется ее ломать, и она останется вам на память, когда вы вернетесь в обворованный дом.

#троянец #удаленный_доступ #пароль #безопасность #терминология

Dr.Web рекомендует

  1. Узнать, какие службы запущены у вас на ПК, можно двумя путями:

    Пуск → Выполнить → написать в командной строке services.msc → нажать ОК
    или
    Панель управления → Переключение к классическому виду → Администрирование → Службы.

    Открыв это окно, вы можете проверить, не запущены ли у вас потенциально опасные службы, делающие ваш компьютер уязвимым для внешних вторжений:

    1. Удаленный реестр (RemoteRegistry) — позволяет удаленным пользователям изменять параметры реестра на вашем компьютере; если остановить эту службу, реестр может быть изменен только локальными пользователями, работающими на компьютере.
    2. Службы терминалов (TermService) — служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола, удаленного администрирования, удаленного помощника и служб терминалов.
    3. Служба сообщений (Messenger) — посылает выбранным пользователям и компьютерам административные оповещения. При отсутствии сети (и, соответственно, администратора) абсолютно бесполезна. Никакого отношения к программе Windows/MSN Messenger эта служба не имеет.
    4. Служба обнаружения SSDP (SSDPSRV) — включает обнаружение UPnP-устройств в домашней сети. UPnP, или Universal Plug and Play — это универсальная автоматическая настройка и подключение сетевых устройств друг к другу, в результате чего сеть (например, домашняя) может стать доступной большему числу людей.
    5. Оповещатель (Alerter) — посылает выбранным пользователям и компьютерам административные оповещения. В домашних условиях служба не нужна.
    6. Планировщик заданий (Shedule) — позволяет настраивать расписание автоматического выполнения задач на компьютере. Автоматически запускает различные приложения, программы, скрипты, функцию резервного копирования в запланированное вами время. Служба может использоваться вредоносным ПО для автозагрузки. Но учтите, что эту службу может использовать и легитимное ПО.
    7. NetMeeting Remote Desktop Sharing (mnmsrvc) — разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting.
    8. Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) — управляет возможностями Удаленного помощника.
    9. Telnet — позволяет удаленному пользователю входить в систему и запускать программы.

    Этот список не полон!

    Изучите запущенные сервисы, найдите информацию об их назначении и отключите лишние.

  2. Если вы используете RDP, то можете настроить его на подключение только с определенных адресов.
  3. Надежные пароли — это спокойный сон. Только не нужно думать, что, набрав русское слово по-английски, вы окажетесь умнее всех хакеров мира.
  4. Периодически меняйте свои пароли — вполне возможно, что очередная утечка уже скомпрометировала их.
  5. Проверить пароли на стойкость к взлому можно с помощью специальных утилит.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: