Компьютер моей матери недавно заразился каким-то руткитом. Это началось, когда она получила электронное письмо от близкого друга с просьбой проверить какую-то веб-страницу. Я никогда этого не видел, но моя мама сказала, что это просто какой-то блог, ничего интересного.
Через несколько дней моя мама зашла на домашнюю страницу PayPal. PayPal дал своего рода уведомление о безопасности, в котором говорилось, что для предотвращения мошенничества им нужна дополнительная личная информация. Среди некоторой более обычной информации (имя, адрес и т. Д.) Они просили ее SSN и банковский PIN-код! Она отказалась предоставить эту информацию и пожаловалась в PayPal, что они не должны просить ее.
PayPal сказал, что они никогда не будут запрашивать такую информацию и что это не их веб-страница. Не было такого «уведомления безопасности», когда она входила в систему с другого компьютера, только с ее компьютера. Это не была попытка фишинга или какое-либо перенаправление, IE четко показал SSL-соединение с https://www.paypal.com/
Она вспомнила это странное письмо и спросила своего друга об этом - друг никогда не отправлял его!
Очевидно, что-то на ее компьютере перехватывало домашнюю страницу PayPal, и эта электронная почта была единственной другой странной вещью, которая произошла недавно. Она доверила мне все исправить. Я сбросил компьютер с орбиты, так как это был единственный способ убедиться (т.е. переформатировал ее жесткий диск и сделал чистую установку). Это, казалось, работало нормально.
Но это заставило меня задуматься ... моя мама ничего не загружала и не запускала. Там не было никаких странных элементов управления ActiveX (она не является неграмотной на компьютере и знает, что их не нужно устанавливать), и она использует только веб-почту (т. Е. Не имеет уязвимости Outlook). Когда я думаю о веб-страницах, я имею в виду представление контента - JavaScript, HTML и, возможно, немного Flash.
Как это может установить и запустить произвольное программное обеспечение на вашем компьютере? Кажется странным / глупым, что такие уязвимости существуют.
Если она использует устаревшую версию IE (или Firefox), то в самом браузере есть известные уязвимости. Да, это немного странно / глупо, но написание идеального программного обеспечения очень, очень, очень, очень сложно.
Вероятно, существуют неизвестные / нераскрытые уязвимости в текущих версиях веб-браузеров (как и в любой другой части программного обеспечения)
Я уверен, что у флэш есть некоторые уязвимости. Я был заражен сайтами, которые посещал с помощью Firefox, и я уверен, что ничего не установил.
Посмотрите на атаки межсайтового скриптинга (XSS) - wikipedia ref .
Это также может быть вредоносная программа, которая запускается во вложении почты.
Но, поскольку вы описываете переход на сайт, использование браузера с указанного сайта, скорее всего, является преступником.
Если она нажимает на ссылки в своем почтовом ящике при подключении к Интернету,
все ее уязвимости в браузере становятся доступными для сайтов, которые она посещает. Вы должны по крайней мере сохранить ее машину исправленной (если ОС все еще поддерживается), и установить антивирус (да, это вызовет большой разговор здесь).
Но, в основном, было бы учиться не нажимать ни на какую неизвестную ссылку или открывать неожиданные вложения, которые сделают ее систему более безопасной .
Не следует ли перенести этот вопрос в SuperUser ?
Файл хоста Windows можно изменить, чтобы система всегда переключалась (даже после перезагрузки).
Вот более развитая атака с использованием этих вещей: как вредоносное ПО расширяет фишинговую сеть .
Если вы используете такие вещи, как Spybot Search & Destroy . Он будет продолжать проверять ваш хост-файл на наличие повреждений.
Этот вид эксплойта опасен, только если вы запускаете браузер с правами администратора.
IE ни в коем случае не является безопасным браузером, но веб-страница не должна быть способна заразить компьютер, если только она не использует довольно большие дыры в безопасности в плагинах и / или дополнительных функциях браузера.
Чтобы обеспечить максимальную безопасность, используйте веб-браузер (например, Google Chrome), который отображает веб-страницы в «песочнице», виртуальную среду, которая не позволяет вредоносному коду попасть на ваш компьютер. Кроме того, Chrome связывается с базой данных вредоносных веб-сайтов и отображает предупреждение, прежде чем загружать их, просто чтобы быть уверенным.
Написание плагинов и надстроек для браузеров всегда будет зависеть от баланса мощности и безопасности, кто-то просто дал плагину слишком много энергии. (Я держу пари, это Java)
Я склонен полагать, что то, что она испытала, было результатом устаревшего плагина, такого как Flash или Java. Если у вас нет реальной потребности в Java в системе, удалите его. И всегда старайтесь не отставать от установщиков. На самом деле, если безопасность является такой проблемой, я бы сказал им использовать Linux. Это имеет гораздо лучший обновитель. Кроме того, это может быть, что есть эксплойт в самом браузере. IE8 - старый браузер, заполненный дырами в безопасности. Используйте Chrome, Opera или Firefox, они все более современные и безопасные. Кроме того, тот факт, что она использует XP, означает, что система не имеет абсолютно никакой концепции разрешений. Нет sudo & root и нет UAC. Более современные ОС Windows, такие как 7 и 8, имеют UAC, который, хотя и не соответствует sudo + apparmor / SELinux в Linux, по-прежнему намного лучше, чем ничего.
Просто чтобы устранить путаницу, сайт может заразить ваш компьютер без плагинов. А именно, JavaScript. Несмотря на то, что современные браузеры защищают JavaScript от ошибок, поэтому он может выполнять только файловые операции в / tmp, JavaScript все равно может использовать реальные уязвимости в самом браузере. В некоторых случаях это могут быть даже эксплойты в исправленных браузерах (обычно называемые эксплойтом 0day), хотя такие случаи редки.