Вирусы

Чистил однажды комп знакомых от печально известного вируса, практически полностью покрывающего всё рабочее пространство и требующего отправить SMS. Дырок в нём много, и искоренить негодяя не составило особого труда. Впрочем, интуиция подсказала, что этим дело не ограничится. Решил полазить по системным папкам внимательнее. Войдя во вкус, я удалил десяток копий вируса и скриптов, запихивающих их в авторан, и медленно дополз до файла hosts. Его я вычистил, около 200 доменов направил на 127.0.0.1 и снабдил грандиознейшим комментарием, который вспоминаю ежедневно: «Заблокировать это дерьмо».

Каждый вторник программисты Майкрософта выпускают обновления, которые закрывают дыры, ставящее под угрозу ваши (бесспорно ценные) данные. То же делают ребята из Адоби. Юзеры же смело отключают обновление, а потом удивляются, откуда у них Стакснеты да Рустоки. Думаете, почему серьёзные вирусы сразу же отключают обновление системы? Авторы знают: с новым обновлением их вирус не сможет вирусничать — дыра-то будет закрыта.

Помню, как-то принесли знакомые безбожно тормозящий ноут. Прогнав «паучком», говорю: «Завирусован он у вас». Бесплатный безбрандмауэрный Аваст не справился: встреча с чем-то вроде Кидо не осталась для него незамеченной. «А я знаю, я как в интернет зайду, так они сразу ломятся, а файрвол мне только мешает». Мешает он им, блин. Раз не хотите, чтоб вас защищали — не удивляйтесь Винлокам да GPCode. Это я вам как вирусный аналитик говорю.

В конце прошлой недели мать сказала, что у её знакомых на компьютере появился вирус, который не даёт им зайти в интернет. Согласившись, я пошёл на осмотр. Оказалось, что злосчастный вирус в интернет попасть даёт, но в «контакт» не пускает, к тому же блочит почти все поисковики. С такой проблемой я раньше не сталкивался, потому залез через мобильник в Гугл и стал искать решение. Осмотр ближайших сайтов показал, что необходимо найти и удалить определённые файлы. Тут-то и крылся подвох: ни одного из названных файлов на компьютере не оказалось. Штатный антивирус на пару с AVZ бяку не нашли.

Пообещав дома докопаться до истины, я ушёл — время было позднее. Обратился к знакомым айтишникам, описал ситуацию, и мне дали вроде как верный рецепт избавления от вируса. Сказал матери, что могу снова зайти к её знакомым и решить проблему, но оказалось, что проблема уже решена.

— Как?
— Компьютер отнесли специалисту, он поправил проводок внутри коробки, и всё заработало.

Что ж за проводок такой был? До сих пор не даёт мне этот вопрос покоя.

И на что только не идут «хитрые» вирусописцы, чтобы обманом заставить пользователей запустить приложение, приносящее людям неприятности самого разного масштаба! Самый банальный способ — назвать файл в стиле такаятофигня.avi.exe, чтобы пользователь, не включивший в «мастдае» отображение формата файла, ничего не заподозрил.

Сегодня нашёл на сетевых помоечных просторах нужную мне книжку. Ссылка для скачивания — нужнаякнига.pdf. Качаю, смотрю на скачанный файл — нужнаякнига.pdf.rar.exe! Двойная перестраховка от пытливого ума пользователя — это сурово. Запустил бы, чисто из почтения к таким «гениям обмана», да Wine жалко.

У нас маленькая госорганизация. Купили новый антивирь, поставили, и на компе юриста каждый день стали вылезать вирусы. Юрист жалуется мне, а когда уходит, я всё проверяю и почти никогда не нахожу заразу. В бухгалтерии через неделю случился такой же случай. Все проверил — непонятно. Думаю, какой-то внешний источник, но какой?

Оказывается, раз в пару недель приходит девушка из «Гаранта» и сбрасывает обновления. В базах информационной системы вирусы и свили гнездо. Когда заключали договор с «Гарантом», на два рабочих места денег не было, поэтому купили внешний жёсткий диск. В основном юрист пользуется, а если надо, берёт главбух. Юрист поработал, диск отключил, в сейф положил — иди, админ, ищи ветра в поле!

Возникла у меня идея проверить антивирус, встроенный в корпоративный брандмауэр — Kerio WinRoute Firewall. Скачал тестовый вирус в разных вариантах. Антивирус эрзац-заразу ловил, как положено, и я удовлетворился.

Через некоторое время я заметил в логе KWF постоянные сообщения антивируса о пойманном вирусе и складывании всё новых обезвреженных файлов в карантин. Удивился, позакрывал все соединения со своей машины — бесполезно, лог растёт, карантин заполняется всё новыми файлами. Списал на глюк и забил. Но когда я вечером по плану перенёс шлюз на другой сервер, и антивирус начал ругаться уже там, призадумался. Перегрузился — всё исчезло. А потом обнаружил, что один из тестовых файлов передался в мою качалку, и она пыталась его слить, а антивирус всё блокировал, а она всё пыталась…

Но это не всё. Вечером пришёл домой, полез по VPN в сеть. Глянул в KWF — а с корпоративного почтового сервера идёт приличный поток данных. В девять вечера пятницы некому у нас отправлять столько почты — рабочий день в пять заканчивается. Вирусы? Не думаю. Посмотрел на почтовом сервере — мать моя женщина, море отправленных писем на мой ящик на Gmail, а также на корпоративный на этом самом почтовом сервере, и ещё море в очереди стоит! Gmail уже ругается, что он столько почты не подписывался за раз доставлять.

Антивирус KWF за день насоздавал целую кучу файлов в карантине. Пришёл вечер, а вместе с ним — окно бэкапа. ПО копирует в числе прочего и каталог KWF (с вирусами в карантине, ага), а на сервере бэкапа установлен корпоративный антивирус Trend Micro OfficeScan. Он настроен на отсылку предупреждений на мои ящики в случае обнаружения вирусов, коих со шлюза ему пришло предостаточно, хоть он все и уничтожил.

Бросился я временно перекрывать доступ в интернет почтовику да очередь чистить. Итог — 4400 писем на корпоративном ящике, 1500 на Gmail, 4000 писем, удалённых из очереди, и предупреждение об эпидемии в сети от OfficeScan. Cчастье, что Gmail не занёс мой почтовик в блэк-лист!

Кризис, туда его в качель. Из админов переквалифицировался в сервис-инженеры, но дух админский никуда не денешь.

Принесли машину. Уровень заражения приближён к паническому — куда быстрее переставить систему. Но это ведь не наш метод. Начинаем лечить. Обнаруживается замечательная связка из пятка троянов и классического Sality. Откуда он взялся и кто пришёл на машину первым? Оказалось, что главным «мальчишом-плохишом» был троян, который являлся частью очередного «очень нужного» приложения для одной очень популярной социальной сети. Сначала он явился сам, потом позвал друзей, которые занимались кражей паролей к онлайн-играм. После позвали к себе ещё парочку приятелей с подозрительным функционалом. Последним аккордом стал сам Sality.

Но самое забавное в этой истории другое. Как и откуда звали друзей? Правильно: с файлообменного сервиса, который любит отдавать файлы по директ-линкам при наличии премиум-аккаунта, который чуть ли не плейнтекстом указывается в HTTP-запросе. Имеем заражённую машину на входе, а на выходе — восстановленную систему, довольного клиента и премиум-аккаунт. Правда, всего трёхдневный, но ведь это не имеет значения, правда? Пока существуют ботнеты, мы без хлеба не останемся.

Вас когда-нибудь на улице останавливал незнакомый человек с вопросом: «Вы в компьютерах хорошо разбираетесь?» Меня сегодня тётенька так тормознула. Я уж грешным делом подумал, что это агент вражеской разведки, который специалистов вербует. Ответишь, что отлично, а тебя тюк по затылку — и в фургон, в Китай, айфоны собирать. Не заметив поблизости ни фургона, ни дядьки с битой, ответил:

— Ну так, чуток.
— Помогите, пожалуйста! У меня интернет за четыреста рублей. Я вот лазила, лазила, и у меня на экране надпись появилась: «Ваша система заблокирована!» И просят деньги на номер прислать, 500 рублей. Как вы думаете, отсылать? А то я уже в терминал оплачивать собралась.

В голове промелькнула нехорошая мысль: сказать, что пять сотен — мало, надо тысячу, а то и две, чтоб наверняка. Но я ж не злой.

— По телевизору же сколько раз говорили: ни в коем случае не отправляйте деньги! Не разблокируют.
— Не разблокируют?

В голосе женщины слышалось недоверие вкупе с разочарованием. Такой голос у ребёнка бывает, когда ему говорят, что Дед Мороз — выдумка. Посоветовал обратиться к знакомым, которые в компьютерах шарят. Обнадёжил, что знающие люди мигом заразу выцепят. Тётенька поблагодарила и ушла.

К слову, единственный на ближайшие два километра терминал не работал. Даже если я бы не помог, техника сама бы не дала глупость сделать.

Принесли компьютер на профилактику. Парень попросил «выдрать корни» вируса. Как только подключили машину к интернету, винда ругнулась на какую-то DLL, то же сообщение вылезло и при открытии браузера. Нашёл эту библиотеку, удивился размеру: 24 байта. Внутри защищённого от записи файла была всего одна строчка:

здесь мог быть ваш вирус