Записи с меткой «AUTORUN»

Dr.Web

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об активном распространении вредоносных программ семейства Trojan.Hiloti, предназначенных для подмены поисковой выдачи. Злоумышленники организовали специальную партнерскую программу с целью увеличения количества установок вредоносного ПО, и используют в своих целях набор эксплойтов, при помощи которых троянские программы загружаются на компьютеры потенциальных жертв.

Термин «подмена выдачи» хорошо известен специалистам по информационной безопасности, а также многим пользователям Интернета, ставшим жертвами злоумышленников. Данную функцию реализует множество вредоносных программ: установившись на компьютере жертвы, такие троянцы отслеживают активность веб-браузеров, и при обращении пользователя к ресурсам поисковых систем вместо результатов поиска выдают пользователю ссылки на различные, в том числе мошеннические, сайты. К указанной категории относятся и троянцы семейства Trojan.Hiloti, отдельные представители которого получили распространение еще в 2010 году. На сегодняшний день в вирусных базах Dr.Web имеется более 80 записей, соответствующих различным версиям этой угрозы. Появление новых модификаций Trojan.Hiloti специалисты связывают с организацией партнерской программы Podmena-2014, к которой злоумышленники пытаются привлечь распространителей вредоносного ПО.

Вирусописатели предлагают владельцам сайтов разместить на своих площадках специальный сценарий, который с определенным интервалом загружает с сервера злоумышленников исполняемый файл вредоносной программы Trojan.Hiloti. Вместе с установщиком самого троянца распространяется модуль руткита, позволяющий скрывать работу вредоносной программы в инфицированной операционной системе. С целью усложнить детектирование Trojan.Hiloti исполняемый файл троянца автоматически переупаковывается на сервере злоумышленников через определенные промежутки времени.

Загрузка троянца на компьютеры потенциальных жертв осуществляется с использованием уязвимостей CVE-2012-4969, CVE-2013-2472, CVE-2013-2465 и CVE-2013-2551, а также методов социальной инженерии.

screenshot

1 — Заказчик заключает с партнерской программой соглашение о продвижении ссылок. 2 — Партнерская программа передает вредоносное ПО распространителям, которые размещают его на сайтах. 3 — При посещении сайтов распространителей вредоносного ПО инфицируется компьютер жертвы. 4 — При обращении к ресурсам поисковых систем жертва переходит по ссылкам, демонстрируемым в окне бразуера вредоносным ПО, информация об этом передается партнерской программе. 5 — Заказчик оплачивает партнерской программе переходы по ссылкам. 6 — Часть этих средств поступает распространителям вредоносного ПО.

Злоумышленники предлагают распространителям достаточно простую схему работы: те способствуют установке Trojan.Hiloti на компьютеры пользователей, разместив определенный код на принадлежащих им интернет-ресурсах, после чего при попытке жертвы выполнить какой-либо запрос на поисковом сайте троянец будет демонстрировать в окне браузера оплаченные рекламодателями ссылки вместо ожидаемой поисковой выдачи. В некоторых случаях переход пользователя по подобным ссылкам приводит к загрузке различных нежелательных приложений, таких как поддельные антивирусы, требующие оплаты за «лечение» компьютера. Распространители же получают процент от дохода, полученного злоумышленниками в рамках данной партнерской программы.

Несмотря на все ухищрения вирусописателей, троянцы семейства Trojan.Hiloti детектируются антивирусом Dr.Web, поэтому пользователи, установившие на своих компьютерах антивирусное ПО, разработанное компанией «Доктор Веб», защищены от этой угрозы. Вместе с тем, пользователям рекомендуется быть бдительными, не сохранять на диск и не запускать исполняемые файлы, загружаемые с подозрительных сайтов, а также вовремя устанавливать обновления операционной системы и прикладного ПО.

Источник

Autoruns — отличная замена стандартной программе msconfig из состава Microsoft Windows. Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов. Естетственно, можно не просто контролировать, что запускается при старте, но и удалить любой компонент из автозагрузки. Кроме этого, Autoruns позволяет быстро — одним кликом — перейти в то место, откуда запускается интересующее приложение/сервис. Наконец, есть у этой программы и такая замечательная опция, как получение дополнительной (кроме той, что показывается в окне программы) информации о приложении или сервисе, для чего достаточно выделить интересующее приложение и нажать Ctrl+G (или выбрать в меню Entry – Google). Autoruns сформирует запрос и отправит его на поисковую систему Google; результаты запроса будут показаны в веб-браузере.

Программа AutoRuns для Windows (версия v11.31)Авторы: Марк Руссинович (Mark Russinovich) и Брайс Когсуэлл
(Bryce Cogswell)

Разработчик : Windows Sysinternals

Категория: Система, подкатегория Утилиты

OC: Windows Тип: Freeware язык интерфейса: русский

Скачать Размер файла: 521,5 Kb

Программа AutoRuns для Windows (версия v11.31)

Авторы: Марк Руссинович (Mark Russinovich) и Брайс Когсуэлл
(Bryce Cogswell)

Это средство проверяет большее количество мест, из которых происходит автозапуск программ, чем любой другой монитор автозагрузки. Оно показывает, какие программы настроены на запуск в процессе загрузки или входа в систему, причем эти программы отображаются в том порядке, в каком система Windows обрабатывает их. Такие программы могут находиться в папке автозагрузки или быть прописаны в разделах реестра Run, RunOnce и других. Средство Autoruns можно настроить на отображение и других расположений, таких как расширения оболочки проводника, панели инструментов, объекты модулей поддержки обозревателя, уведомления Winlogon, автоматически запускаемые службы и многие другие. Средство Autoruns обладает более широким спектром возможностей, чем служебная программа MSConfig, которая входит в состав Windows Me и XP.

Параметр Hide Signed Microsoft Entries (Не показывать элементы с цифровой подписью Microsoft) средства Autoruns позволяет сосредоточить внимание на автоматически запускаемых элементах сторонних производителей, если такие элементы были добавлены в систему. Кроме того, можно просматривать объекты, настроенные на автоматический запуск для других учетных записей, имеющихся в системе. В архив для загрузки также включен вариант программы для работы из командной строки, Autorunsc. Выходные данные этого средства можно получить в формате CSV.

Вы, вероятно, удивитесь, как много исполняемых файлов запускается автоматически!

Программа Autoruns работает во всех версиях Windows, включая Windows XP 64-bit Edition (для x64) и Windows Server 2003 64-bit Edition (для x64).

Autoruns

Использование

В статье Марка в выпуске журнала Windows IT Pro Magazine за ноябрь 2004 года описаны дополнительные методы работы с программой Autoruns. При возникновении вопросов или проблем посетите форум компании Sysinternals, посвященный программе Autoruns.

Просто запустите средство Autoruns, и оно покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты Internet Explorer (включая объекты модулей поддержки обозревателя (BHO)), библиотеки DLL инициализации приложений, подмены элементов, объекты, исполняемые на ранних стадиях загрузки, библиотеки DLL уведомлений Winlogon, службы Windows и многоуровневые поставщики услуг Winsock. Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку.

Для просмотра свойств исполняемого объекта, настроенного на автоматический запуск, необходимо выделить этот объект и воспользоваться пунктом меню или кнопкой панели инструментов Properties (Свойства). Если в системе запущена программа Process Explorer, а выделенный исполняемый файл используется каким-либо активным процессом, то при выборе в меню Entry (Элемент) пункта Process Explorer (Process Explorer) откроется диалоговое окно свойств процесса, использующего выделенный объект.

Чтобы перейти к разделу реестра или каталогу файловой системы, который отображается в окне программы, либо к настройке объекта, запускаемого автоматически, достаточно выделить нужный элемент и воспользоваться командой меню или кнопкой панели инструментов Jump (Перейти).

Чтобы отключить объект, запускаемый автоматически, нужно снять соответствующий ему флажок. Удалить такой объект можно с помощью команды меню или кнопки панели инструментов Delete (Удалить).

Чтобы просмотреть автоматически запускаемые элементы для учетных записей других пользователей, достаточно выбрать нужный пункт меню User (Пользователь).

Дополнительные сведения по параметрам отображения и другую полезную информацию можно найти в оперативной справке.

Использование программы Autorunsc

Autorunsc — это вариант программы Autoruns для работы в командной строке. Ниже приведен синтаксис использования этого средства.

Использование: autorunsc [-x] [[-a] | [-b] [-c] [-d] [-e] [-g] [-h] [-i] [-k] [-l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z <systemroot> <userprofile>] | [пользователь]]]

-a показывать все элементы;
-b объекты, исполняемые на ранних стадиях загрузки;
-c записать выходные данные в CSV-файл;
-d библиотеки DLL инициализации приложений;
-e надстройки Explorer;
-g мини-приложения (гаджеты) боковой панели;
-h перехватчики файлов-образов (Image hijacks);
-i дополнительные компоненты Internet Explorer
-l элементы, автоматически запускаемые при входе в систему (этот параметр используется по умолчанию);
-m не показывать элементы с цифровой подписью Microsoft;
-n поставщики протокола Winsock;
-p драйверы монитора печати;
-r поставщики LSA;
-s службы в режиме автоматического запуска и неотключенные драйверы;
-t назначенные задания;
-v проверять цифровые подписи;
-w элементы Winlogon;
-x печатать вывод в формате XML;
-z задать для сканирования неактивную систему Windows;
пользователь показывать автоматически запускаемые объекты для указанной учетной записи пользователя.