Всем плед, дорогие друзья, сегодня я как обычно проверял свой компьютер как всегда с помощью AdwCleaner и я думал что программа ничего не найдет, ведь винда установлена была довольно-таки недавно и тут программа мне сказала что нашла 1 подозрительный элемент, что для меня стало странным. А далее программа даже указала путь к файлу — «C:\Windows\System32\winrm\csrss.exe» и я все-таки перешел в эту папку и нашел этот файл.
так как я интересуюсь вредоносными программами и способами защиты от них сразу-же я загуглил по запросу «Win32:HackTool/Netpass» и нашел такую информацию
Так вот — NetPass является программой для восстановления забытых паролей которые сохранены в кэше браузера, она входит в пакет программ от NirSoft. И вот далее у меня стал напрашиваться вопрос, а как же эта программа попала на мой ПК без моего ведома, ведь я не скачивал пакет программ в который она входит и просто так никакая программа не будет маскироваться под критический системный процесс, тем более создавать ключ реестра для автозапуска в ветке «HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce».
Тут меня начали терзать смутные сомнения о происхождении данной программы и о путях проникновения ее на мой компьютер и я сразу же снес эту программу с помощью Hijack This! и загрузившись с Zillya! Live CD снес ее хвосты, а далее сразу же поменял пароль на всех своих аккаунтах в соц. сетях и в Google.
Далее давайте расскажу как от этой штуковины защититься и где она обитает.
Во первых сразу скажу — НИКОГДА НЕ ХРАНИТЕ ПАРОЛИ ОТ СВОИХ АККАУНТОВ В БРАУЗЕРЕ. То же касается и платежных данных, таких как Номер карты а также все что с ней связано (срок действия, 3-значный CVC/CVV код, ФИО владельца, что указаны на карте).
Во вторых — обязательно поставьте двухэтапную аутентификацию с подтверждением по номеру телефона, так вы обезопасите себя на тот случай, если пароль все же будет перехвачен.
В третьих — качайте ПО с проверенных сайтов, и репаки/сборки от проверенных издателей, например от KpoJIuK или Elchupacabra, на счет сайтов у меня несколько проверенных — это Vsetop и Rsload Net.
При установке программ обязательно в установщике снимайте галочки в рекламных предложениях, типа Яндекс.Браузера, WebCompanion и тому подобных.
Еще не забывайте читать лицензионное соглашение при установке ПО, и то что написано мелким текстом, далее если имеется кнопка «Дополнительно» обязательно нажмите на нее и уберите все галочки напротив всех пунктов.
Следуйте этим рекомендациям и тогда риск подхватить будет минимальным.
Пути к файлам вредоноса (при заражении системы):
- C:\Windows\System32\winrm\csrss.exe
- %temp%\tmp0092.tmp
- %temp%\dat0419.tmp
По данным программы ExeInfoPE, исполняемый файл данной программы csrss.exe запакован с помощью утилиты ASPack, после отправки файла на VirusTotal процент обнаружения 31/70
Я так понимаю, эта программа как бы и полезная, но злоумышленники ее используют в роли стиллера, настроив ее соответствующим образом, еще об этом соответствуют отметки в правилах файерволла Windows, а также в логах моего прокси-сервера, который работает на основе Privoxy и WireShark.
Ну что ж, все что мог рассказал про эту вредоносную программу, а теперь осталось вам пожелать здоровья, безопасности в сети и Анонимности.
Всем до скорого.