Безопасность

Абонентам ПетерСтар, пользующимся Интернет.

В последнее время участились жалобы абонентов по поводу телефонных счетов, в том числе необычно крупных, на международные разговоры. Абоненты при этом утверждают, что счета выставлены необоснованно, так как международной связью они, якобы, не пользовались и звонков по указанным в счетах телефонным номерам не осуществляли.

Проверки подобных жалоб показывают, что время звонков недовольных по международному направлению совпадает с периодом их работы в сети Интернет. Что при этом происходит?

Абоненты осуществляют доступ в Интернет по коммутируемому каналу с использованием модема. В процессе работы в Интернет абонент попадает на сайты, где им предлагается бесплатно посмотреть интригующие картинки или скачать видео. В определенный момент, а именно тогда, когда клиент уже "зацепился" за соответствующий сайт и идет к намеченной цели через "окна" с инструкциями, он нажимает на очередную ссылку, в результате чего на его компьютер автоматически устанавливается программа, написанная на языке Java Script, которая разрывает установленное соединение с местным Интернет-провайдером и устанавливает при помощи модема международное соединение с модемным пулом другого провайдера. Т.е. создает в Windows новое удаленное соединение через зарубежного провайдера. Дальнейшее получение информации с данного Интернет ресурса происходит уже по расценкам междугородной телефонной станции, то есть по гораздо более высоким тарифам. Абоненты, как правило, не обращают внимания на факт разрыва и установки нового соединения. Впоследствии эта программа проделывает такую операцию регулярно, вследствие чего абонентам выставляются счета за международные звонки.

ЗАО "ПетерСтар" предупреждает своих абонентов: будьте внимательны при работе в Интернет. Особенно это касается работы на Интернет-ресурсах, требующих платы за просмотр своего содержимого (например, порносайты). Обращайте внимание на попытки модема самостоятельно установить соединение после разрыва установленного соединения с Интернет. Следите, не появилось ли в папке "Удаленный доступ к сети" новых соединений, которых Вы не создавали, а также не появились ли на компьютере программы типа Web Dialer'а. Старайтесь не оставлять без пристального внимания модем, подключенный к Вашей телефонной линии. Непосредственно после работы в Интернет выключайте питание модема (если он внешний) или отсоединяйте модем от телефонной линии.

Web-dialer

Что это такое?

Некоторые сайты в Интернет требуют оплату за просмотр своего содержимого. Как правило, это порносайты, интернет-магазины, сайты с "халявой" (якобы бесплатными сувенирами, которые будут высланы пользователю, если он скачает и запустит у себя небольшую программу). На таких сайтах обычно применяются два механизма оплаты. Первый - при помощи кредитной карты, второй - посредством звонка на специальный телефонный номер, оплата за который взимается с пользователя, просматривающего сайт, по особому тарифу и переводится на счет владельца сайта. Как правило, второй способ оплаты на сайтах обозначается как "No credit card" ("Без кредитной карты"), или, для введения пользователя в заблуждение, Free" ("бесплатно"). При выборе этого способа оплаты (при нажатии на ссылку "No credit card") на компьютер пользователя загружается и запускается специальная программа, которая разрывает соединение с Интернет через местного провайдера и устанавливает новое соединение посредством звонка на телефон доступа, находящийся за рубежом. Просмотр содержимого сайта возможен только через это соединение. В конце месяца пользователь получает счет за международный телефонный разговор.

Существует несколько разновидностей подобных программ ( так называемые "звонилки" ). Многие из них являются законным (с точки зрения владельца сайта) способом получения оплаты и никак не скрывают своих действий. При загрузке и установке их на компьютер выдается запрос на подтверждение пользователем этих действий. При этом подобные программы не вносят никаких изменений в конфигурацию системы и используются только для доступа к определенному Интернет-ресурсу. Другие "звонилки" могут устанавливаться на компьютер без явного запроса на подтверждение. Они могут создавать новое соединение для удаленного доступа, делая его используемым "по умолчанию" для того, чтобы пользователь каждый раз подключался к Интернет посредством международного звонка. Возможен вариант, когда "звонилка" постоянно находится в памяти компьютера, подобно вирусу, и инициирует международный звонок даже тогда, когда компьютер просто включен, и пользователю не требуется соединение с Интернет. Некоторые программы изменяют реестр Windows таким образом, чтобы пользователь при открытии стартовой страницы в Интернет или попытке перехода на любую другую страницу всегда попадал на сайт, заданный автором программы.

Как с этим бороться?

Большинство таких программ формально являются не вирусами, а "честными" программами, загрузку и запуск которых подтвердил сам пользователь. Поэтому многие антивирусные программы не обнаруживают их присутствие на компьютере. Хотя, например, в базе Антивируса Касперского, подобные программы присутствуют (вредоносные программы класса Dialer). Также антивирусом можно обнаружить некоторые сопутствующие вирусы, осуществляющие подмену в реестре стартовой страницы и префикса "http://" при вводе адреса страницы. Для поиска "звонилок" лучше использовать специальные средства, предназначенные для поиска "шпионских" программ на компьютере, такие как AdAware, SpyBot, CWShredder. Их можно бесплатно скачать из Интернет. Как и при работе с антивирусом, перед началом проверки необходимо через Интернет обновить базы этих программ.

Можно попробовать найти и удалить такие программы вручную. Следует поискать подозрительные "удаленные соединения", скрипты (файлы с расширением *.swf, *.js) в папке, где установлен браузер, проверить программы, автоматически запускаемые при старте и реестр Windows.

Радикальный способ, позволяющий на 100% избавиться от этой напасти - форматирование жесткого диска с последующей переустановкой операционной системы.

Как этого избежать?

Старайтесь не посещать сайты, требующие оплаты за просмотр своего содержимого. Если Вы все же делаете это, будьте бдительны. Внимательно читайте все предупреждающие сообщения и запросы, прежде чем подтвердить выполнение какого-либо действия. Следите за состоянием вашего текущего подключения (два монитора в панели задач). Прислушивайтесь к своему модему. При пропадании соединения и попытке модема самостоятельно восстановить его, Вы услышите характерное пощелкивание или попискивание модема, свидетельствующее о наборе номера. Если оно покажется Вам странным (набираемый номер зарубежного телефона доступа гораздо длиннее того, которым Вы пользуетесь обычно), немедленно отключите питание модема или отсоедините шнур телефонной линии. Если это уже произошло, значит "звонилка" уже установилась на Ваш компьютер. Почитайте предыдущий раздел, чтобы удалить ее. Отключайте питание модема или отсоединяйте его от телефонной линии, если в данный момент Вам не требуется подключение к Интернет.

Одним из наиболее эффективных способов защиты от Интернет-ловушек такого рода является ограничения на медународные (междугородние) соединения с телефонного номера клиента (закрытие "8",использование "кода-пароля" для выхода на м/н, м/г и т.п.).

Есть и другие средства защиты от программ-"звонилок", но они ведут к ограничениям при работе в Интернет. Многие программы не скрывают факта своей загрузки на компьютер, и пользователь получает стандартное системное уведомление о загрузке программы, если в его браузере стоят установки безопасности "по умолчанию" (Меню "Сервис/Свойства обозревателя/Безопасность", см. рисунок). К сожалению, пользователи не всегда с должным вниманием относятся к предупреждениям, выдаваемым компьютером, и своими собственными руками обрекают себя на существенные финансовые потери.

Управляя настройками уровня безопасности, можно запретить загрузку файлов из Интернет, выполнение приложений Java, и активных сценариев. Тем самым Вы обезопасите свой компьютер от появления на нем "звонилок", но при этом станет невозможно корректное отображение "честных" сайтов, использующих java-апплеты и flash-заставки. Установите последние обновления (service pack) для вашего браузера и почтовой программы, так как некоторые программы могут пользоваться имеющимися в них "дырами" для обхода настроек защиты.

Такую же защиту могут обеспечить программы типа firewall (Outpost Firewall, ZoneAlarm и т.п.), если в их настройках запретить использование активного содержимого, но это приведет и к таким же ограничениям при работе в Интернет.

Обязательно установите антивирусный монитор для защиты от некоторых типов шпионских программ. Не забывайте при этом регулярно (не реже 1 раза в неделю) обновлять антивирусные базы.