Вирусы

Мой папа — тот самый советский инженер с ДВК, который якобы удалял гланды через ассемблер. Прошу прощения у тех, кто обиделся на моё неуважительное к нему отношение: вы бы сами относились точно так же к человеку, который хвастается, но не владеет навыками. Мой связанный с компьютерами жизненный путь был сформирован рассказами отца (которые, будем честными, он сочинял на ходу, но это другая история). А эта…

Иду домой с остановки общественного транспорта, рабочий день позади. Звонит жена:

— Там у твоего папы бухалово с друзьями, выгони их в ресторан, что ли.

Прихожу домой. В гостиной четверо инженеров-пенсионеров старой школы над препарированным трупом папиного компьютера. Трезвые, но спиртом воняет сильно: протирали контакты. Может, и внутрь принимали, но пока не заметно: говорят ровно, стоят на ногах крепко, движения точные.

— Так, это не блок питания. Может, снова термопасту поменять? — спрашивает у них папа.

Интересуюсь, в чём дело. Оказывается, компьютер перегружается через некоторое время после старта. Они пропылесосили радиаторы, поменяли термопасту, тестером проверили ток с БП.

Беру в своей комнате термопасту, возвращаюсь. Отщёлкиваю радиатор, приподымаю, внутренне готовясь найти там суперклей или зубную пасту… Не, вроде термо. Счищаю, мажу свою, прищёлкиваю назад. Подключаю. Запускаю.

Загрузка. Проверка диска. Загрузка. Появляется рабочий стол. Справа из трея вылазит сообщение антивируса: доступ к файлу хххх.exe был заблокирован. Монитор на секунду гаснет, а когда загорается — там селф-тест при загрузке. Жду. Снова сообщение антивируса из трея, снова ребут.

Стартую с флешки, проверяю автозапуск. Отключаю пять неизвестных файлов и одну службу. Перегружаюсь — всё работает.

Причина — папа словил вирус. Достаточно новый, чтобы не быть в базе. Вирус пытался получить доступ к некоторым системным файлам, если не получалось, ребутил машину, надеясь успеть до антивируса. Не успевал, ребутил снова.

Папа, стремясь в моих глазах выглядеть кем-то лучшим, чем он есть, созвал консилиум. Они пытались решить проблему, не выходя из своей зоны комфорта. Может, если бы дело было в конденсаторе на материнке или БП, всё бы исправили. Но прочесть сообщение и подумать?..

Как говорится, кто к нам с мечом пришёл — от меча и погибнет.

Зашёл к другу в гости недавно душу излить да что-нибудь в неё и залить заодно. Между разговорами друг упомянул, что очень уж странный вирус подхватил его телефон, управляемый зелёнороботовой ОС. Прошивку на телефон накатывал ему я, и, как заботливый человек, не забыл о рут-правах, на чём, собственно, телефон и погорел. Вирус действовал следующим образом: при попытке открыть магазин приложений этот паразит требовал ввести данные пластиковой карты. Что тут может быть сложного? Заходим в приложения, ищем заразу. Да, кажется, вот она с названием «ММС» и с иконкой в виде почтового конверта. Друг подтвердил, что приложение такое своими руками не устанавливал. Зараза найдена! Теперь кликаем на неё и нажимаем «Уда…» Вот и конец подвигам моим в качестве «компьютерщика»: кнопки «Удалить», «Остановить» заблокированы. Что ж, вероятно, злодей прописался в качестве администраторов устройства. Так и есть! Однако это нисколько не исправляет положение: вирус по-прежнему не поддаётся удалению. Сделать сброс к заводским настройкам? Не интересно. Думаем дальше.

Те, кто хорошо знает устройство ОС Ведроид, наверняка уже кричат в монитор мне различные способы удаления заразы. Что у нас есть? Компьютер, рут-права по ADB, что ещё надо? Ищем сначала на всякий случай заразу по адресу system/app. Ничего нет. Идём в data/app. Ничего с названием «ММС» либо похожим. Зато есть некая APK с именем bla.blabla.avito. Интересно. Друг «Авито» не пользуется, да и самого приложения «Авито» на телефоне я не нашёл. Удаляем! rm data/app/blabla.avito. «Permission denied». Ну естественно, как я мог забыть? Ремаунтим систему с правами чтения и записи… «Permission denied». Опыта работы с линуксоподобными у меня мало, руки опускаются. На помощь приходит опыт установки бинарника fastboot на свой телефон (успешно работает, кстати), когда мне помогла одна утилита перемаунтить-таки систему с нужными правами. Качаем её APK, ставим в заражённого. Ремаунтим систему, удаляем заразу.

Мораль сей басни = null. Не ставьте друзьям рут-права на телефон, а то ведь отправит кто-нибудь реквизиты. А уж кто попадётся на такое, возможно, вспомнит мою историю.

Кстати, о ложных срабатываниях антивирусов. Сталкивался с ними со времён XT и «Поисков».

Скопировал у одноклассника несколько игр в обмен на SimCity, King’s Bounty и первого Larry. Через пару дней он виновато сказал: «Знаешь, в этих играх какой-то СПИД нашли. Вот программа, она его лечит», — и дал дискету с Aidstest.

Проверил. В большинстве игр нашёлся Cascade-1703, который был успешно удалён. Также он был удалён из command.com на загрузочной дискете. Помимо него Aidstest принял что-то в спрайтах Arctic Fox за KIWI-550 и тоже его удалил. В результате поломалась заставка.

Много лет спустя знакомлюсь с интернетом, читаю сайт не то Корела, не то Лебедева. Внезапно выскакивает окно Касперского (без визга: звуковой карты не было) и рапортует об успешно удалённом вирусе. Через несколько минут — снова, о нём же. И ещё. И ещё.

Судя по пути, нехороший файл — страница из кеша браузера. Внимательно читаю описание вируса на сайте Касперского. Отключаю антивирус, изучаю HTML подозрительного файла — не нахожу там ни следа скриптов. Похоже, антивирусу не понравилось название класса.

Ещё спустя сколько-то лет. Новый диск большой, места много, поэтому поставил Cygwin целиком, чтобы лишний раз не докачивать. Из паранойи решил всё просканировать на вирусы — мало ли кто пишет и компилирует опенсорс. Триальный Dr. Web поймал трояна весом несколько мегабайт. При рассмотрении троян оказался файлом шрифтов TeX. Как честный легальный пользователь, написал им о ложном срабатывании, приложив файл, но ответа в тот раз не получил.

Ещё через несколько лет решил отказаться от проприетарных программ и поставить ClamAV. После того как ClamAV назвал подозрительной половину моего склада абандонвари, счёл идею неудачной.

Ещё через несколько лет наткнулся на фриварную игру Dot Zombie (зомби-апокалипсис с очень минималистичной графикой). Сканер на сайте то ли Веба, то ли Касперского счёл её зловредом. Послал им игру. Месяца через три ответили, что игра чистая. Пришлось извиняться перед автором.

Но не ошибается только тот, кто ничего не делает. Avira, Avast и Symantec не разу не давали ложных срабатываний. Чистить машины после их защиты приходилось другими программами.

Редакция выпускает одновременно газету (самый большой тираж в области) и глянцевый журнал. Глянец — подборка рерайченного хлама с «Леди Mail.Ru».

Интернет позволен только тем, кто готовит материалы. Верстальщикам, корректорам, редакторам запрещён, отдел приёма рекламы довольствуется Аутлуком. Есть внутренний чат и файлопомойка.

Ваш покорный слуга верстает газету. Ещё подменяет верстальщика глянца, когда тот после вчерашнего не различает буквы на клавиатуре. Вирусы грызут не слишком крутой компьютер, успешно добавляя себя в исключения кагэбэшного антивируса. Интернет под запретом. Пользовательская учётка.

Приношу CureIt! на флешке. Оп-па — а USB-порты отключены в диспетчере устройств. Пытаюсь включить — хрен тебе, пользователь. Ладно, думаю, глупость спорол. Надо админа звать. Написал по внутреннему чату сообщение: вот, дескать, вирусы, надо бы прибить.

Приходит чудо в очках — пузо, свитер, редкая бородка. Типичный сисадмин, только рост 1,80. Спрашивает, где вирус. Показываю. Вот тут программа hfdxkl.exe выедает полностью ядро процессора, тут она в исключениях антивируса, а вот тут же — она в папке %temp%. Чудо говорит, что я дурак: раз программа в исключениях, значит, она важна и трогать её не надо. Служебная на имя директора спускается тому же админу с тем же успехом — он дальний родственник.

Ладно, хрен с ним. Приношу с дома пачку компактов, пытаюсь стартовать с них — удаётся. Запускаю CureIt!, вылечиваю машину. Проверяю реестр и папки автозапуска — вдруг есть что-то странное. Неожиданно утилита пишет, что нашла обновления. Стоп, как это? Неужто интернет на самом деле есть? Набираю IT happens в браузере лайв-CD — не, нету. Как же тогда обновления нашлись? Ладно, потом буду думать, скоро материалы для вёрстки принесут.

На всякий случай бручу хэш админского пароля — а вдруг? Шесть цифр, похожих на дату рождения… Ой, да это же админа, вон список днюх висит!

В перерыв запускаю программу для проверки автозапуска — даже из-под пользовательской учётки она находит присутствие обновлений. Почему? Может, дело в HTTPS? А если запустить Tor? Ой, да тут только HTTP закрыт, а всё остальное — бери не хочу!

Ну, так я и стал обладателем интернета и админских полномочий, которые использовал, как супергерой суперсилу — тайно и во благо. Tor никак не выделялся среди трафика, который генерировала вирусня с других машин, так что для анонимности достаточно было нажать Alt+F4. А если бы сисадмин вовремя победил вирусню — так бы и остался я необразованным верстальщиком.

Небольшая фирма, чуть менее 30 машин. Доступом к глобальной сети владеют только админ и начальство. Нужное по работе — через админа и письменную заявку. Можно пользоваться своими флешками, но только после прохождения контроля. Контроль — Pentium 4, загружающийся с антивирусного лайв-DVD, без винчестера, но с 4 гигами оперативки.

В чём суть? В том, что если на пользовательской машине обнаруживается вирус, который не лечится этим же лайв-DVD, то премия админа переходит сотруднику. Если лечится — премия сотрудника уходит админу. В итоге админ необычайно трепетно относится к актуальности антивируса, а пользователи — к соблюдению инструкций. Давненько мы ничего не ловили. Идиллия.

Принято считать, что ограничение пользователей в правах и запрет интернета нужны для защиты от вирусов. Судьба носила по разным работам. Вот мои наблюдения.

Видео- и фотосъёмка свадеб. Есть сисадмин. Машин около 30. Интернет запрещён. Пользовательская учётка. Везде стоит антивирус от кагэбэшника с устаревшими базами, все машины дико завирусованы. Наличие вирусов сисадмин отрицает. Файлопомойка на маломощном компьютере виснет из-за постоянных запросов вирусни.

(Ах, молодость! Загружался с компакта и брутил админский пароль, чтобы почистить компьютер от вирусов. По словам сисадмина, антивирус дико надёжен, а процесс tmp2809.exe, файл которого находится в C:\Windows\Temp\, сейчас рассосётся сам собой и перестанет есть 99% CPU.)

Фирма широкого профиля, перепродажа промышленного оборудования оптом и в розницу. Есть сисадмин с двумя помощниками. В главном офисе машин около 120. Интернет разрешён только избранным. Пользовательская учётка. Антивирусы стоят на большинстве машин. Компьютеры завирусованы процентов на 70. Вирусы создают на файлопомойке файлы вроде домашнее_порно.ехе и расшаривают на своих компьютерах папки с этими же файлами. Учитывая множество расшаренных папок с настоящим порно, эпидемии прокатываются по несколько раз в месяц.

Типография, по совместительству дизайнерская студия. Сисадмина нет, эникеят дизайнеры, потому что «тыжкомпьютерщики». Машин около 20. Интернет разрешён. Пользовательские учётки в качестве традиции, админская учётка с паролем «123». Везде лицензионный NOD32 с обновляемыми базами, но не запускается: «глазик» в трее горит красным. Компьютеры завирусованы по самое не балуй. Записать что-то на флешку невозможно из-за битвы вирусни за autorun.inf.

Посредническая фирма, машин в главном офисе около 50. Есть эникей. Интернет разрешён. Антивирусы на произвольных машинах. Пользовательские учётки с сильными ограничениями у восьми жопоруких юзеров, остальные под админом. Завирусованность почему-то почти нулевая.

Редакция одновременно двух изданий — журнала и газеты. Машин больше 40. Есть сисадмин. Почти поголовно пользовательские учётки. Интернет разрешён тем, кто готовит материалы, запрещён верстальщикам, корректорам, редакторам. У отдела приёма рекламы вместо интернета — Аутлук с коннектом к почтовому серверу. Обновляемый кагэбэшный антивирус соседствует с невероятным зоопарком вредоносного ПО. На файлопомойке куча скрытых папок с вируснёй.

Жизненный опыт говорит, что завирусованность машин слабо коррелирует с наличием сисадмина, запретом интернета и ограничением прав пользователей.

Ох и юмористы тут сидят! Для них баннер, который требует 50 рублей, потому что пользователь якобы просматривал сайт ГорячиеЦыпы.com, говорит о том, что пользователь точно просматривал порно. Расскажу-ка я историю, которая приключилась со мной в пору становления админом.

Нашёл я себе новую работу в филиале торговой компании. Предстояло мне администрировать сеть с Active Directory. До этого я работал либо с малыми сетями, где AD был не к месту, либо в чужих сетях, где админили AD бородатые дяди, либо где AD просто не внедрили. Взяли меня как перспективного эникея, который не падает в обморок от слов RDP, TCP/IP, «маршрутизация» и «права доступа». И вот я осваиваюсь на новом месте, нахожу узкое место в сети, из-за которого жутко медленно работала 1С, предлагаю решение, устраняю проблему и мой начальник, админ из центрального офиса, решает, что я перспективный малый и мне можно доверить ключи от Рая. Впрочем, это был пароль администратора домена.

Гордости моей не было предела. Ещё бы: из грязи в князи! Напрягал меня лишь тот факт, что в AD я, мягко говоря, не силён и вообще только читал, что есть такая технология. Привычным для себя путём решил скачать Очень Толстую Книгу и стать-таки гуру Активных Каталогов. Поскольку уже в то время бумажные книги стали стоить как вертолёт, я залез в Гугл, забил туда «администрирование active directory книга скачать», после чего жмякнул первую же ссылку. Экран немедленно покрылся психоделическими цветами, и поверх этого вылезло окно с ужасными надписями:

Ваш компьютер заблокирован УФСБ КГУ ЦРУ Министерства внутренних дел за просмотр некропедозоопорно на сайте ОченьНеприличноеНазвание.com! Заплатите штраф, отправив SMS на номер 7-9xx-xxx-xx-xx! Не пытайтесь перезагрузить компьютер, иначе все ваши данные будут удалены!

У меня просто отвисла челюсть. Вот так я, до этого смеявшийся над такими случаями, сам взял и попался на винлокер. Одним кликом по ссылке.

Меня спасли только опыт работы эникеем в разнообразных условиях и любознательность, из-за которой я знал все интересные места в системе. Рука на автомате вдавила reset, ПК ушёл в ребут, я пожмякал F8, загрузился в безопасном режиме, вычистил все известные мне пути автозапуска, удалил сам исполняемый файл, прогнал весь винт свежескачанным антивирусом и перезагрузился обратно в свою учётку. После этого я накатил плагин для блокировки скриптоты на браузер и по сию пору живу в добром здравии, чего и всем желаю.

Забористая порнушка этот Active Directory, не находите?

Что нужно сделать, если вам прислали неизвестный исполняемый файл?

Запустить его!

Что нужно сделать с сообщениями от системы и антивируса о подозрительности этого вредоносного ПО?

Закрыть не читая, ибо много букв!

Что нужно сделать, если после всего этого вместо офисных документов стала открываться интернет-страничка с рекомендацией заплатить денег, ибо все файлы зашифрованы?

Перезагрузить компьютер, убедиться, что всё так же, и повторить всё на соседнем!

Пользовательская логика неискоренима.

— Вова, ты мне лечил флешку, но там всё равно ничего нет.

— Вообще ничего? Мы же сделали вроде файлы нескрытыми.

— Ну, не совсем. Там лежала программа Файлы.exe.

— И что вы сделали?

— Я её запустила.

— Зачем?!

— Ну, раз ничего не было — я запустила посмотреть, какие файлы на флешке.

— И вам это помогло?

— Нет, всё осталось как было. Это всё началось после того, как вы мой компьютер в вашу сеть включали. (Имеется в виду AD.) До этого всё было хорошо. Вылечи мой компьютер!