bash.im ithappens.me zadolba.li

Вирусы

11804

Красный крест на чёрном флаге

Праздники, все гуляют, пьют, развлекаются. Буквально из-за стола вытаскивают «посмотреть шайтан-машину». Я, хоть и работаю инженером-проектировщиком, более-менее разбираюсь в прогрессе, что все уже давно знают. Что ж, делать нечего, подрываюсь, лечу к пациенту.

С виду диагноз ясен сразу: стандартный винлокер. Спасибо хоть, без шифрования файлов пользователя. Безопасный режим не выручает. Диспетчер задач заблокирован. А под рукой, как назло, нет ничего. С тоской вспоминаю об оставленном дома солидном наборе LiveCD и прочих утилит… До дома целых 300 километров.

Ладно, глубоко вздыхаем и успокаиваемся — работать будем с тем, что есть. В сумке находится невесть откуда взявшийся какого-то волосатого года диск-приложение к журналу «Хакер». А, была не была! Суём в машину. Так, авторан не отключён. Уже лучше! С интересом наблюдаю HTML-версию журнала. Но сделать ничего не получается — никаких диалоговых окон запустить не удаётся.

Неожиданно замечаю, что если окно запущенного журнала подвести к низу экрана, то становится доступным трей-бар. А что в нём? Запущен Мюторрент. Отлично! Через меню главного орудия пирата запускаю диалоговое окно выбора торрент-файла, меняю фильтр файлов на «все файлы» и выбираю regedit. По памяти пробегаю знакомые ветки автозапуска. Ага, вот и он — виновник! Выпиливаем запись, перезапускаем. Выдыхаем. Полчаса на чистку, скачку антивируса и краткий инструктаж хозяев компьютера. И всё, можно бежать назад к салатикам и уже остывшим пельменям.

Никогда не отчаивайтесь и ищите нестандартные пути, и удаче придётся повернуться к вам лицом.

11694

С Новым годом и старым бэкапом

Давным-давно, когда флешки только-только начинали свой победный ход, в славном городе N-ске бухи одной маленькой, но очень гордой конторы притащили себе под Новый год маленькую программку, которая делала ровным счётом две вещи. Первая — отображала на рабочем столе красивую ёлочку с милыми бухскому сердцу гирляндами. Вторая — скачивала из сети Trojan.Encoder, который радостно зашифровал все ценные бухгалтерские файлы.

Маленькая контора была очень гордой, но очень бедной, а потому единственным антивирусом на компьютерах был ClamAV. Он не помог. Ситуацию спас только еженедельный бэкап с помощью Сlonezilla, находившийся в скрытом разделе.

После этого сисадмин получил карт-бланш: админские права отобрал, SRP настроил, флешки закрыл, оформление свёл к классической теме без малейшего шанса настроить что-то «под себя». И заработали компьютеры быстро, стабильно и проблем сисадмину стали причинять в разы меньше.

Мораль: «под себя» настраивайте ваши личные вещи. Компьютеры на работе принадлежат не вам, а компании. Если вы устроились в компанию, где есть дресс-код и IT-политика, не нойте и не рвите на себе тельняшку с криками про продукт. Не поможет.

11600

Буквально спасена

После школы пошёл я учиться на филологический факультет педагогического университета. А пять лет спустя, получив долгожданный диплом филолога, устроился работать в IT-компанию, промышляющую созданием больших веб-проектов. И не кем-то там устроился, а PHP-программистом. Оказалось, что хобби, которым занимался лет с пятнадцати от скуки, очень даже востребовано. И платят больше, чем учителю русского и литературы. Но рассказ не про это.

Недавно написала одногруппница, с которой не общались с момента окончания вуза. Рассказала одну поучительную историю.

В очень известном торрент-клиенте одногруппница увидела рекламу, что есть программка, которая может увеличить скорость работы компьютера. А у неё, как у приличной девушки, комп жутко тормозит из-за отсутствия ухода и хаоса внутри. В общем, кликнула она по баннеру. Открылся сайт с большой кнопкой «Начать загрузку», кучей текста («Разгоним ваш комп», «Рекомендовано теми-то и теми-то») и уймой логотипов известных фирм.

Так вот. Уже готова она была скачать программку и установить, но тут случайно глаз зацепился за предложение внизу страницы:

* Microsoft — зарегестрированная торговая марка Microsoft Corporation.

Точнее, за слово «зарегестрированная», которое должно писаться через «и», но тут было написано через «е».

В общем, увидела эту ошибку и закрыла вкладку. А через пару дней парню своему показала этот сайт. Тот в инете порыскал, и оказалось, что это фейковая страница, пародия на одну очень популярную программку. То же название, описания, скриншоты, вот только по ссылке на скачку вместо программки по очистке системы — скриптик, несущий на ПК хаос и разрушения.

Вот так знание русского языка спасло блондинку от лишних проблем с компьютером. А вы говорите: «Эх, гуманитарии! Чего с них взять? Ничего не понимают в IT». Недооцениваете вы нас. Ой как недооцениваете.

А мне пять лет филфака помогают красивые комментарии писать в коде. Иногда даже в стихах.

11593

Сам собрал, сам страдал

Недавно у меня на работе сотрудница подхватила винлокер, и я наконец-то увидел это чудо воочию. Но лечить мне его было не резон. На это у нас есть департамент IT.

А вчера уже позвонила другая знакомая и тоже пожаловалась на винлокер на домашнем компьютере. Он вылез внезапно, когда знакомая мирно читала какую-то PDF, скачанную с интернета. Компьютер у неё один. Помимо XP на нём стоит ещё 98-я и военный линукс МСВС (ставил это всё я несколько лет назад). Основная система — XP. В 98-ю знакомая давно не заходила, линукс ей нужен по работе: трудится программистом в «почтовом ящике», как говорили во времена СССР. То есть она, конечно, не прямо дома пишет программы для этого «почтового ящика», но просто хотела иметь возможность использовать такую же систему, как на работе, чтобы было можно дома что-то пробовать. Оказалось, что 98-я у неё не запускается, линукс работает, но в интернет она из него выйти не может. Поэтому, вооружившись LiveCD известного отечественного антивируса, я отправился в гости.

С антивирусным LiveCD я до этого тоже дел не имел  — как-то обходилось. Мне диск очень понравился. Gentoo, на основе которого он был собран, прекрасно распознал и примонтировал все разделы на диске, а также виндоусовский реестр. Лечащая утилита, правда, вирус не нашла. Я параллельно проверил точки автозагрузки в реестре и вышел на зловреда. Благодаря встроенному браузеру проверил его на virscan.org. Действительно, его распознавали как вирус только 4 из 36 антивирусов. Тело вируса тут же было отправлено в антивирусную лабораторию, которая выпустила LiveCD, и уже к вечеру его включили в базу.

Пока шла проверка, а я искал в интернете, как лечить винлокера, наткнулся на практическое руководство по их созданию. В очень доступной форме с примерами кода на Паскале описывался весь процесс создания таких троянов. Совсем тупым предлагались ссылки на генератор винлокеров, где нужно только ввести номер телефона — и готов троян, который будет просить перевести деньги на указанный счёт. По крайней мере, так генератор рекламируется. Сам я его, конечно, не скачивал.

То, что пользователи реально тупые, можно видеть по обсуждению этого генератора. Половина вопит, что в нём вирус, который заблокировал их компьютер…

11488

Убедительно, но непонятно

Недавно рассказывал дилетанту, почему вирусы для Windows не работают в Linux. Не придумал лучшего объяснения, чем:

— Представь себе, что тебя гипнотизируют на языке, которого ты не знаешь. Подействует ли на тебя гипноз?

11406

Я тебя породил — я тебя не убью

Есть у меня програмка, которую я переписываю и дописываю уже больше десяти лет. По другую сторону фронта — бюджетники, о которых я здесь разместил с три десятка статей. Вот в борьбе с ними программа приобрела свойства гидры лернейской: сама отращивает себе головы и хвосты, если обнаруживает, что ей что-то оторвали шаловливыми ручками. Потом добавил и контроль реестра, и автопрописку в автозагрузку. Программа начала обладать уже некоторыми свойствами вируса.

По мере того как у пользователей стал массово появляться инет, программа начала при проблемах докачивать недостающие файлы и стучать мне на сервер о проблемах, то есть стала ещё обладать свойствами даунлоадера и ботнета.

Потом запустил пару параллельных процессов, вечно сидящих в памяти, которые контролируют целостность программы и друг друга и при отсутствии товарищей в памяти их подгружают. После этого остановить легко их я и сам не мог, пока не сделал себе бэкдор в виде флага-файла для остановки. Не знаю, как называются такие вирусы, но получилась живучая гадость типа мейл-агента.

Сейчас приделывал ещё один процесс к тем двум, и понадобилось мне вывести окошко с сообщением. И что оказалось: окошко-то выводится, но поскольку процесс-то консольный, то окошко не кликабельное, сидит поверх всех и закрыть-убрать себя не даёт. Получился винлокер.

«Не страшно, — думаю. — Ctrl+Alt+Del я-то не заблокировал». Хотя были мысли и эту комбинацию заблокировать, так как не завершать работу аварийно, когда им что-то непонятно, я так и не научил.

Запускаю диспетчер процессов. Что-то нарушилось во взаимном вызове процессов, и они хороводом очень быстро загружают и выгружают друг друга. Причём даже не по очереди — видно, один вызывает сразу двух остальных или просто не успевает отобразиться. Остановить их не успеваю, до обработки флага не доходят, в реестр себя пишут. Как такой вирус называется, я не знаю, если подобный вообще есть.

Сижу, смотрю на эту пляску помеси Скайнета и Франкенштейна и не знаю, что делать: то ли гордиться, какой я крутой программер, то ли стыдиться. Наверно, сейчас допишу отдельную программу, которая каждую миллисекунду будет убивать все три процесса, так как, думаю, это не последний раз так хороводит. Боюсь только, что эта программа тоже на их сторону перейдёт.

11260

Байтофаг обыкновенный

Бабушке, проработавшей несколько десятилетий библиотекарем, подарил планшетник на Андроиде. Поставил антивирус и объяснил, зачем он. Она в ответ:

— Я поняла, вирусы — это как жучки, которые точат книги.

А ещё говорят, распечатанному документу никакие вирусы не страшны. Зато жучки есть!

11066

Защита от котиков

Учусь я на историческом факультете северо-западного города. Билеты к экзаменам традиционно попадают в руки к студентам далеко не сразу, потому скоростная подготовка каких-нибудь адовых вопросов вроде «Афганистан между двумя войнами с Британией» заносит изредка на такие сайты (в том числе союзных республик), где различные всплывающие окна и хищные вирусы практически бросаются в лицо из экрана. Кроме того, в моей квартире живут три кота, двое из которых — прыгучие сиамы. Какая связь между этими двумя обстоятельствами? А вот.

Вдумчиво разбирая обрывки информации на одном из таких сайтов, захотел я выпить чаю. Встал, оставил всё, как было, пошёл на кухню. Казалось бы, что может случиться? Возвращаюсь и вижу на экране наглое и уже укоренившееся окно вируса, который уже сожрал половину системы и догрызает отчаянно сопротивляющийся антивирус. Выпадаю в некий ступор: файрвол стоит неплохой, и чтобы такая дрянь оказалась внутри, нужно скачать её ручками, иначе никак. Неподалёку от клавиатуры сидит один из кошаков, вроде бы невозмутимо умываясь. По прижатым ушам и паре других мелких признаков понимаю, что чьи-то шаловливые лапки опять бегали по клавиатуре и гоняли мышь, вероятно, случайно скачав мне на комп врага.

Судя по всему, к защите машин должны полагаться не только «защита от дурака» и антивирь, но ещё и «защита от котиков». Экзамен, кстати, был трагично завален по причине необходимости переписывать почти все сделанные билеты.

11056

Скучно жить без риска

Дело было во время эпидемии вирусной рассылки в скайпе. Пришёл я на работу, почитал новости про рассылку, потом поработал немножко. Во время обеда поговорил с женой, сидевшей дома, по аське:

— В скайпе эпидемия, если ссылка придёт, знай: там вирус сидит за ней.

— Не было ничего.

Прихожу вечером, а жена говорит:

— Была ссылка, точно как ты и описывал, с вирусами. Я, естественно, нажала.

— А зачем ты так сделала?

— Так ты же сам говорил: раз у нас дома линукс, то вирусов нам можно не бояться. Вот мне и стало интересно: а что будет, если я по ссылке пойду?

Сам виноват, что и говорить.