bash.im ithappens.me zadolba.li

Вирусы

2974

Всё, что не делает меня сильнее, убивает меня

Звонит женщина, по голосу лет сорока:

— Вы знаете, я, конечно, опытный пользователь компьютера, но с вашим словарём у меня слишком много проблем. У меня ваш словарь работает как вирус.

Начинаю задавать дежурные вопросы: «Откуда скачали словарь? Как именно работает? Что значит „как вирус“?»

— Я опытный пользователь! Я знаю, что все программы на компьютере, которыми я не пользуюсь — вирусы. А вашим словарём я не пользуюсь.

2822

Две заразы

Есть у нас группа расчётов, состоящая из двух девочек. И вот у них заглючила прога. Позвали меня, мол, почини, нам работать надо. А прога, кстати, довольно вредная, я её просто ненавижу! Иду к девочкам, пытаюсь восстановить работоспособность проги, а они всеми силами пытаются помочь мне:

— Вот, на моём компьютере позавчера перестало работать, я решила попробовать на Танином, а там вообще не запускается, — и ещё пять минут разнообразных описаний случившегося и предположений причин. — Может, это вирус?
— Да, вирус... Причём даже два!
— Вот! Я так и знала! Серёж, скажи, а можно что-то сделать? Нам же работать надо!
— Не уверен.
— А что это за вирусы такие поганые?
— Татьяна Васильевна и Антонина Геннадьевна!

2773

Люди в белом

В 2004 году я работал айтишником в маленькой, но оборотистой московской фирме. Тогда волокно ещё не лежало в каждом доме, и модемы для выхода в интернет кое-где использовались.

Сестра моего коллеги как раз работала на дому через модем и подцепила какой-то особенно кривой вариант зловредной звонилки, которая не давала этот самый модем использовать. Девушка вызвала «скорую помощь»; пришёл чувак, что-то там попробовал переставить по модемно-драйверной части, но ничего у него не вышло — со «зловредами» он, видимо, не сталкивался вовсе, поэтому просто выставил нормальный счёт непонятно за что и предложил купить новый модем (втридорога, естественно). Девушка отказалась и позвонила своему брату, который пришёл ко мне в соседнюю комнату со всей этой историей.

Никаких способов удалённо залезть на машину, само собой, не было, ехать чёрт знает куда не хотелось, везти комп в офис тоже. Интернет барышне был нужен срочно, а из всех средств электросвязи был лишь один старенький факсимильный аппарат.

В те замечательные времена популярным способом заражения было простое прописывание себя в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, и я решил попробовать, поскольку терять всё равно было нечего. Через полчаса я уже изучал факс, в котором аккуратным учительским почерком было изображено содержимое интересующей ветви реестра. Если читатель вспомнил героя Уилла Смита из «Людей в чёрном», которому не понравилась девочка с учебником квантовой физики, то точно так же нелепо здесь выглядела строка «explorer.exe», которую я и порекомендовал удалить вручную и перезагрузить комп.

Модем заработал сразу, девушка потом поставила антивирус. Машина была излечена по обычному факсу, за полчаса и совершенно бесплатно — я даже не общался с пользователем, потому что квалификации моего коллеги на объяснения хватило.

2691

Вымётывайтесь!

Работаю в магазине компьютерной техники. Покупатели просто зажигают. Вчера звонит клиент, который где-то месяц назад купил жёсткий на терабайт. Говорит, что жёсткий ужасно тормозит и работать «ваще невозможно». Спрашиваю про антивирус — он даже не знает, что это такое, а у него ещё и безлимитка. Говорю, что надо почистить диск от вирусов. Благодарит, кладёт трубу.

На следующий день приносит диск по гарантии — говорит, что после чистки он не работает. Жёсткий вскрыт, крышка рядом в пакете. Я удивлённо интересуюсь, почему. «Так вы же сказали его почистить от вирусов, я его разобрал и кисточкой почистил». Я хватаюсь за живот, директор пытается объяснить, как и чем правильно чистить диски. Скандалили где-то полчаса, в итоге клиент купил новый жёсткий и коробку с антивирусником.

2654

Завирусованный козёл

Работаю на вызовах. Недавно был интересный клиент: прямо с порога озадачил меня вопросом, умею ли я лечить вирусы, и лишь получив положительный ответ, пропустил к компьютеру. На вопрос, что именно его беспокоит, я получил целый список наименований вирусов по базе viruslist.com.

Я поинтересовался, чем это определили, и получил почти полный список лечащих утилит. На мою попытку запустить LiveCD клиент возразил, что это невозможно — диск блокируется каким-то там вирусом в памяти. Впрочем, всё запустилось без проблем. Собираюсь включить CureIt! — говорит, что уже пробовал запускать, и утилита блокируется вирусом. Запустилась — ничего не нашла.

Со слов клиента, у него постоянно появляются вирусные файлы и папки, он заколебался их удалять. Стоящий на компьютере лицензионный KAV 2010 тоже не видит его вирусы, и он зря потратил деньги. Не один файрвол он не может установить, так как они блокируются или прибиваются вирусами.

Минут сорок я выслушивал его жалобы на странные вирусы, попутно пытаясь найти хоть один вирус в системе и проверяя всевозможные логи в поисках ошибок. И нашёл! Всего один — пользователь, сидящий перед монитором компьютера, и был тем страшным вирусом.

Странные файлы и папки — это pagefile.sys, $RECYCLE.BIN, desktop.ini и другие системные файлы, включая svchost.exe. Windows 7 задолбалась каждый раз восстанавливать убитые пользователем через AVZ «вирусы». В общем, за проведённый у клиента час я понял, что:

— клиент нетрезв (хоть по нему и не видно);
— клиент невменяем, так как все мои объяснения пропускались мимо ушей;
— его знакомые-пользователи, сидящие под WinXP, намного «умнее» меня, работающего в этой сфере уже шесть лет;
— он вынес мне весь мозг.

Я просто отменил заявку и ушёл. Сегодня я узнал, что этот клиент надоел уже всем компьютерным магазинам и компьютерным сервисным центрам до чёртиков.

Не всегда клиент прав — иногда он просто козёл, получающий удовольствие от издевательства над специалистами.

2648

Прополка вслепую

Работаю учителем информатики. Дети иногда выдают такое, что сползаешь со стула.

Самостоятельная работа по теме «Вирусы и антивирусные программы». Очередной вопрос звучит так: «Что нужно делать, если ваш компьютер заражён?» Ответ ученика: «Нужно медленно выключить компьютер из сети и постепенно удалить все вирусы».

2642

Кошелёк и жизнь

Приносят бухгалтерский системник: странно себя вёл, перестала запускаться система. Снимаю винт, подключаю к своей машине. Чуть больше гигабайта информации на единственном разделе — очень странно. Осматриваю пострадавшего. В корне раздела только каталоги, никаких признаков файлов. Все каталоги с меткой «скрытый», внутри обломки винды и программ, большая часть файлов и каталогов скрыта.

Вспомнилась бородатая шутка про удаление 95-й винды Проводником перед форматированием раздела. Но на шутку не похоже — каталог с профилями пользователей весит пять мегабайт, изуродована не только система, но и каталоги с программами и пользовательскими файлами. Такого не смог бы сотворить даже самый криворукий пользователь. Картину венчает сиротливый каталог «Документы» с десятком файлов, у всех одинаковая дата последней модификации. Смотрю удалённые файлы — полный набор того, чего не хватает. Получается, кто-то резал винду живьём, не удосужившись даже закрыть открытые документы? Или что-то?

Запускаю восстановление и продолжаю заниматься своими делами. По окончании смотрю в карантин — NOD отловил среди восстановленных файлов выводок троянцев по фамилии «Kryptik.A**» (Каспером и Вебом опознаны как Packed.Win32.Krap.w и Trojan.Packed.687). Среди «живых» файлов обнаруживается ещё парочка модификаций троянца. Память подсказывает, что этот троянец был замечен на компах, с которых «ушли» доступ к WebMoney и банковскому счёту.

Из научного интереса решаю исследовать поведение троянцев. Зверёк № 1 прописался в системе, освоился, постучался в отключённую сеть и затих. Начинаю смотреть второго. В этот момент меня отвлекает кто-то из коллег, и я запускаю экзешник без контроля. Скрип винта и стремительно исчезающие каталоги. Опа!

Когда винт затих, мне открылась знакомая картина — сильно поредевший список «скрытых» каталогов. Ничего себе троянец! Перезагружаю виртуальную машину, запускаю злодея — как и предполагалось, он попытался удалить каждый файл на разделах, но залезть в каталоги с ограниченными правами не смог.

Некоторое время спустя я узнал, что с банковского счёта этой фирмы ушла немаленькая сумма. Раньше девизом «бандитов с большой дороги» было «Кошелёк или жизнь?» — теперь же не только грабят, но и убивают.

2621

Войны кривые-теневые

К Новому году я решил порадовать себя и компьютер новой веб-камерой. Купил, подключил, установил драйвера, ПО — всё заработало. Пришла весна. Вчера вечером, пока я тихо-мирно правил одну жёлтую программу, компьютер вдруг заорал, что обнаружено новое оборудование, причём нашел он именно мою камеру и потребовал диск с дровами. Получив требуемое, виндюк поскрипел и сказал, что установка невозможна из-за ошибки установки. Меня заинтересовало странное поведение машины. Исследования показали: пока я трудился, в системе шла беспощадная теневая война не на жизнь, а на смерть.

На драйвер камеры было совершено нападение «злобным» вирусом (выяснено простым бинарным сравнением). Но так как вирус был написан коряво, встать по-тихому у него не получилось: хулиганство заметил докторвебовский Guard и решил заразу выкусить. Guard был тоже написан коряво: выкусить заразу у него не получилось, и драйвер сдох, что и было замечено системой. ХР узрела непорядок и решила исправить ситуацию переустановкой, посмотрела .inf и потребовала свежую копию драйвера. Но так как и ХР написана коряво, то вычистить перед установкой оставшиеся драйверные хвосты у неё не получилось, и камеру вышибло без права дальнейшей установки.

Вот так и живём: кривое с кривым из-за кривого воюет, а мы реестр ручками чистим.

2574

Трибьют-шоу

Увлекает меня ковыряние кода чужих вирусов. Сегодня пришел в аську очередной спам с предложением посмотреть «мои голые фотки». В предвкушении веселья лезу по ссылке и радостно скачиваю файл .jar. Антивирус пропускает. Распаковываю и с грустью обнаруживаю, что хотя троянец и отправляет SMS, но номера хранит в зашифрованном виде в текстовом файле. Надо же их узнать!

Скачиваю декомпилятор Java, обнаруживаю совершенно дикую функцию, которая и должна бред из файлика преобразовать в список коротких номеров. Проблема только одна — Java я совсем не знаю. Ничего, запускаю свой родной Delphi и медленно, по одной строчке, справляясь у гугля, интерпретирую код обработчика строки. Преобразовав примерно пять из двадцати строчек, компилирую свой код для проверки. И тут компьютер подвисает, антивирус издает вопль раненого эвристика, окна Delphi становятся белыми. «Да ты задолбал своим эвристиком! Я же этот файл только что сам написал, в нём чистый, хороший вирусный...» Тут мои мысли прервались, а уважение к антивирусу повысилось до максимума.