В этой статье я постараюсь возможно более подробно объяснить что надо делать, если ваш Internet Explorer «болеет» разного вида всплывающими окнами и стартовыми страницами непристойного содержания. В этой статье я не буду говорить как уберечься от всей этой заразы, а постраюсь сосредоточиться на решении уже появившейся проблемы не произнося реплик типа «Надо было ставить файрвол!» и «А не фиг было по порносайтам лазить!»
Эта статья никоим образом не претендует на звание серьёзного научного труда, и всего лишь обобщает опыт, полученный мной во время работы системным администратором в казанских фирмах «Итакон», «Юликон» и благотворительном фонде «Благосостояние»
Для начала давайте попробуем разобраться откуда берутся все те кошмары о которых написано чуть выше. Для этого надо ответить на ряд вопросов: Например почему больше всего этой заразе подвержен именно Internet Explorer?
Тут есть множество причин, на мой взгляд главными из них являются две. Первая: Internet Explorer встроен в ОС Windows и поэтому является самым распространённым браузером среди пользователей этой ОС. Вторая: настройки браузера лежат в самом легкодоступном месте - в системном реестре ОС. Обе эти причины как раз и привлекают разных людей писать всякие пакости именно под этот браузер.
Как появляются все эти глюки с порносайтами? Тут есть несколько способов. Самый пожалуй оригинальный на мой взгляд (именно он и подтолкнул меня к написанию этой статьи) - правка префиксов протоколов.
Что это значит? Попробую объяснить: когда вы пишите в адресной строке браузера что-то вроде easysoft.altruistic.ru, браузер сам приписывает к этому адресу префикс протокола, т.е. «http://». Значения префиксов протоколов хранятся в реестре и их значения легко могут быть заменены на любые другие. Я видел небольшой вирус, который заменял значение «http://» на что-то вроде «http://www.porno.ru/?page=». В этом случае ваш адрес передавался индексному скрипту порносайта как значение параметра page.
Вся оригинальность идеи была в том, что нужный пользователю сайт открывался. Но не просто так, а в плавающем окне на главной странице порносайта.
Второй вариант, на мой взгляд тоже достаточно оригинальный - замена адреса поисковика, используемого по умолчанию (MSN или Google) на адрес порносайта. Как это чудо работает я думаю объяснять не надо.
Третий вариант - Пожалуй самый трудоёмкий для автора вируса, но при этом самый пакостный для пользователя. Он основан на том что IE «понимает» plugin'ы (внешние подули, расширяющие его функциональность). Вирусописатель пишет новое дополнение для IE которое пакостит пользователю не разово, как в предыдущих двух случаях, а постоянно, при каждом запуске Internet Explorer.
Как это работает мы разобрались. Но откуда берутся все эти вирусы и как они появляются на компьютере? Сейчас я попробую ответить на этот вопрос.
Кто пишет вирусы я не знаю, да мне это не очень и интересно. А вот как они появляются на компьютере я расскажу. Я не буду рассматривать банальные случаи "приноса" вирусов на дискетах и прочих носителях, вы с ними скорее всего уже знакомы, а расскажу только о том как вирусы загружаются из Интернета, используя особенности современных браузеров.
Итак, я думаю каждый в своей жизни хоть раз видел при открытие какой-то страницы сообщение браузера вроде "Для корректного просмотра необходимо скачать и установить..." и т.д. Это сообщение чаще всего означает что автор страницы использовал на ней какую-то новую технологию, не поддерживаемую вашим браузером, и, в заголовке страницы (видном понятное дело только браузеру), написал путь, откуда можно скачать нужный plugin.
Обычно пользователи даже не дочитав до конца сообщения разрешают загрузку и установку этого plugin'а. А зря. Я видел однажды такое сообщение, где в графе «Описание» было написано примерно следующее: «FREE VIRUS». Поэтому я не очень уважаю «крутых хакеров» :-) которые
считают что знают всё, и не задумываясь жмут «Да» а потом долго плачут над последствиями.
Ну так что же, в конце концов, с этим делать? Во первых - расслабиться, ничего совсем смертельного не случилось. Во вторых - запустить редактор реестра (кто не знал: «Пуск» -> «Выполнить» -> «regedit»). В третьих - приготовиться колдовать :-)
Сначала открываем раздел HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix и проверяем значение параметра по умолчанию. Оно должно быть http://. Если нет - присвойте ему это значение.
Затем тоже самое надо проделать и в разделе HKEY_CURRENT_USER SOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix (если таковой существует).
Теперь открываем раздел HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionURLPrefixes и сверяем содержащиеся там значения с таблицей:
Параметр | Значение |
ftp | ftp:// |
gopher | gopher:// |
home | http:// |
mosaic | http:// |
www | http:// |
Если что-то не так - исправляем (в реестре, а не в таблице :-)).
Если существует раздел HKEY_CURRENT_USER SOFTWAREMicrosoftWindowsCurrentVersionURLPrefixes то синхронизируем его содержимое с этой же таблицей.
Поздравляю! Первая часть работы закончена!
Теперь смотрим раздел HKEY_LOCAL_MACHINE SOFTWAREMicrosoftInternet ExplorerAboutURLs и синхронизируем его содержимое с таблицей:
Параметр | Значение |
blank | res://mshtml.dll/blank.htm |
DesktopItemNavigationFailure | res://shdoclc.dll/navcancl.htm |
NavigationCanceled | res://shdoclc.dll/navcancl.htm |
NavigationFailure | res://shdoclc.dll/navcancl.htm |
OfflineInformation | res://shdoclc.dll/offcancl.htm |
PostNotCached | res://mshtml.dll/repost.htm |
Если присутствует раздел HKEY_CURRENT_USER SOFTWAREMicrosoftInternet ExplorerAboutURLs то его можно просто удалить. Или, если не лень, сихронизировать с этой же таблицей.
Теперь идём в раздел HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerMain и
начинаем изучать значения параметров там (здесь рассматриваются не все параметры этого раздела, а только те, которые являются потенциальными мишенями для разных пакостных программ):
Параметр | Значение |
Local Page | Путь к пустой странице. Обычно что-то вроде C:WINDOWSsystem32blank.htm |
Start Page | Ваша любимая домашняя страница, или about:blank для пустой страницы |
Search Page | Поисковик по умолчанию. У меня стоит http://www.google.com/ |
Enable Browser Extensions | Обычное значение - yes, если установить в no то будут отключены ВСЕ plugin'ы. |
Полезно так же проверить эти же значения в разделе HKEY_LOCAL_MACHINE SoftwareMicrosoftInternet ExplorerMain.
Plugin'ы можно отключать поодиночке. Например в IE6 SP2 (встроен в Windows XP SP2) для
этого нужно зайти в настройки, выбрать раздел «Программы» и нажать кнопку «Настройка». В появившемся диалоге можно отключить не нужные и подозрительные
расширения. Пользователям более ранних версий IE повезло меньше. Стандартного средства для отключения только части plugin'ов нет, а описание того как это
сделать самому являет собой тему для отдельной статьи, и рассматриваться здесь (уж простите) не будет.
Напоследок хочу добавить что есть ещё системная функция сброса настроек. Мне самому ни разу не пришлось применять её на практике, но говорят что она помогает. Для её использования нужно просто вызвать командную строку («Пуск» -> «Выполнить») и набрать в ней: "rundll32 IEdkcs32.dll, Clear".
На основе всего вышеизложенного материала мной была написана программа IE Registry Recovery, скачать которую (вместе с исходными текстами на Delphi) можно со страницы http://easysoft.altruistic.ru/ierr.phtml.
В любом случае - если в вашей системе завёлся какой-то «жук», не спешите форматировать винчестер. Скорее всего проблему можно решить более мирным способом. Надо только немного
подумать.
Желаю удачи, и приятной работы в Интернете!
P.S. Благодарю Александра Гуданова за помошь в подготовке статьи.
P.P.S. Если у вас есть какие-то вопросы, или у вас есть дополнительный материал по этой теме - пишите на e-mail.
