Вирусы

На новогодние праздники ездил к родителям за пару тысяч километров. В качестве подарка для них выбрал бюджетный компьютер, чтобы могли мои любимые и в интернет сходить, и по скайпу позвонить. Бережно и нежно
установил и настроил софт, показал и рассказал, что, куда и как нажимать. Временно поставил бесплатный антивирус, надеясь, что на первое время пойдёт. Особенно грозно провёл лекцию о баннерах, порносайтах и прочей дряни, куда нажимать смертельно опасно. На всякий случай решил установить TeamViewer — мало ли, помочь придётся в трудную минуту.

Вернулся обратно. Спустя две недели раздался тревожный звонок: папа ворчит на компьютер, говорит, что тот завис и вообще утверждет, что за посещение неприличных сайтов нужно послать SMS за 400 рублей. Конечно, никто ничего не трогал и оно само. Незадача: я довольно далеко, приеду минимум через год. Прозвонил всех знакомых там — никто не может прийти раньше чем через три дня. Сказал родителям ждать, уже собрался спать — и вспомнил. Позвонил, попросил включить компьютер.

Запускаю TeamViewer, пытаюсь подключиться… Бинго! На экране злополучный вымогатель нагло требует денег. Пытаюсь послать Ctrl+Alt+Delete — ничего не происходит. Win+R — тоже ничего. Вызов залипания клавиш — опять провал. Ага… Жму «Передача файлов» в TeamViewer — и мне выдаётся возможность положить файл в любой каталог удалённого компьютера. Нахожу подозрительную гадость а-ля «xxx-video-43535.avi.exe» в папке временных загрузок Оперы. Удалить не получается, переименовать — без проблем.

Перезагружаю удалённую машину, переподключаюсь. На экране красуется: «Не удаётся найти файл …\xxx-video-43535.avi.exe». Ага, попался! Ctrl+Alt+Delete — и вместо диспетчера задач выходит «Калькулятор Плюс». Ха, большое спасибо! Помощь → Справка. Выползает CHM-файл. Параметры → Параметры интернета. Выползают настройки Internet Explorer. Конфеденциальность → Импорт параметров конфеденциальности… Здравствуй, Проводник!

Попытка запустить taskmgr.exe не удалась: администратор, дескать, запретил. Что ж, запускаю regedit и подметаю хвосты злосчастного баннера. Повезло, что вымогатель попался дрищёвый.

Просмотр истории в Опере подтвердил подозрения: «оно само» тут и не пахнет. От греха подальше настроил семейный фильтр в поиске Яндекса и установил K9 Web Protection — теперь на страничку с «клубничкой» попасть проблематично. Установил честно унесённый с работы Касперский и пожелал удачи своей родне в освоении интернета.

Десять лет назад, когда я учился в восьмом классе, мы только-только начали изучать QuickBASIC. Мне захотелось защитить от посторонних свой компьютер c играми и Windows 95.

Я написал крошечную программу game.exe. При запуске она переносилась из текущего каталога в корень диска C: и добавлялась в autoexec.bat. После перезагрузки программа просила ввести пароль. Можно было, конечно, и не вводить: программа выключалась по Ctrl+Break и не работала в безопасном режиме.

«Опасный файл» дальше моего компьютера не пошёл. Больше ничего подобного я никогда не писал — наигрался. Сейчас, когда я вижу у клиента очередной вирус, который просит отправить SMS, я понимаю, что принципы не меняются: я это проходил в восьмом классе.

Будучи юниксоидом и админом с десятилетним стажем, я никогда не использовал антивирусы и не рекомендовал их пользователям. В качестве аргумента приводил и привожу наглядную аллегорию.

Представьте, что компьютер с Windows и вашими данными — это некий реальный объект в виде здания. Вместо трёхметрового забора с кольями и электрической защитой вы имеете хилый штакетник с дырками и завалившимися столбиками. И что вы делаете, установив антивирус? Нанимаете охранника, который ходит по периметру штакетника и охраняет здание. Его могут стукнуть сзади по кумполу, он может попросту не успеть добежать или не увидеть атаки. К тому же охранник жрёт за двоих: деньги за лицензию, оперативку и процессор.

Установленный антивирус внушает ложное чувство безопасности. Особо популярный продукт лаборатории, любящей делать громкие необоснованные заявления, вообще злоупотребляет положением охранника и позволяет себе копаться в грязных вещах хозяина и наводить порядок внутри здания. В частности, недавно был схвачен за руку, некорректно конвертируя кодировку пришедшего HTML-письма. Стыд и срам.

Новые версии винды не отстают в маразме и придумывают смешные системы вопросов-ответов над дырами в заборе, которые призваны осложнять жизнь разве что хозяину.

Вместо этого я предлагал и предлагаю всем быть рачительным хозяином на своей территории: хотя бы просто латать дыры в штакетнике и выравнивать столбики.

Вирусы, как и примерные злоумышленники, недалеки в развитии и ходят по небольшому количеству протоптанных тропок через малое количество общеизвестных дыр в заборе. Примерно раз в пару лет осваивают одну новую: так сказать, гордо эволюционируют.

Лезут через макросы? Запретите запись в папку с normal.dot на уровне NTFS.

Пихаются в автозагрузку при входе в систему? Настройте в реестре эти ключи только для чтения. С ассоциацией EXE-файлов та же история.

Бывают двуглавые змии, которые запускают сразу два процесса: каждый следит за жизнеспособностью другого. Морозим через нормальный диспетчер задач обе головы и отрубаем поодиночке.

Срут на сетевые шары? Отключаем шары у обычного пользователя, удаляя сервис Server в реестре. Устраиваем файлопомойку на Юниксе, в Самбе рубим возможность записи экзешников в шару. Заодно управляемость повышаем, резервное копирование упрощаем и утечки информации блокируем.

Автозапускаются с флешек? Отключаем автозапуск со съёмных носителей.

Невозможно прекратить процесс вируса? Переименовываем экзешник и перезапускаем систему — готов, выносите ногами вперед.

В результате выравнивания штакетника вирусные атаки обходили стороной мою сеть на 70 компьютеров на протяжении семи лет. У обращавшихся знакомых все вирусы я удалял сам, вручную, без всяких антивирусов.

На днях знакомый притащил ноутбук с виндой, установленным популярным антивирусом и свежими базами к нему, в которой почти все приложения зависали в неопределённые моменты. Первый диагноз: система полумёртвая, на переустановку. Присмотревшись внимательнее, заметил, что половина сервисов не поднята, а один из них в состоянии Starting. Идём к EXE-файлу, смотрим свойства и описание, понимаем, что вирус, перегружаемся в безопасный режим, отключаем автозапуск сервиса, открываем экзешник в блокноте, кидаем пару символов в тело файла. Вуаля! Подпорченные файлы с вирусами удалять не стоит: большинство «инсталляторов» вирусов, увидев родной файл на нужном месте, тупят и успокаиваются.

Работаю в главном городском провайдере выездным саппортом. Как правило, вся поддержка сводится к проверке IP-адреса и напоминании о том, что на небезлимитных тарифах надо бы включать авторизатор — остальное все наши тысячи пользователей уже почти зазубрили, и проблем почти не возникает (тьфу-тьфу). Поэтому в свободное время я бегаю по вызовам, не связанным с сетью, но приносящим некоторый доход.

Довелось побывать дома у одной крайне невинной на вид особы лет 15–16, живущей с матерью-матроной. Причиной визита стал Винлогон, который заменял вторым телом Userinit. Обычно вопросов типа «где, когда и как поймали» я не задаю, но в данном случае любопытство всё же разыгралось. Когда Винлогон был снят, я решил почистить логи загрузок браузеров, реестр и прочую мелочь. То, что в папке Downloads нашлось ещё несколько «готовых к употреблению» разновидностей аналогичных заразок, меня удивило. Последние 20 сайтов в истории Огнелиса были как один с горячим видео. Всё доделал — осталось взять деньги и попрощаться. Напоследок мамаша спросила:

— А вы не знаете, где она могла такое поймать?
— Сложно сказать. (Жалко же девочку!) Рекламный сайт какой-нибудь, всплывающее окошко. Вариантов много.
— Не-е-ет. Она у меня по… (краснея) по порнухе лазала, я уверена!
— Я сказать точно ничего не могу.

Мать притащила девочку из комнаты.

— Сознавайся! Лазала по порнухе?

Красная как помидор девочка с видом несправедливо обиженной молвила:

— Ну ма-а-а… У нас с Максиком завтра первое свидание, должна же я знать, что и как!

Я согнулся пополам от смеха, даже не взяв денег, кратко попрощался и выполз в подъезд.

Чистил систему. В карантине Нода накопилось более двух гигов заразы. Решил почистить. Открыл Нод, карантин, выделил всех тварюшек — и нажал «Восстановить и исключить из сканирования» вместо «Удалить».

Остатки винды догрызают червячки. Я хочу в отпуск.

Работал в компьютерном сервис-центре. Друг моего начальника купил себе недешёвый ноутбук и пришёл к нам за «нужными программками». Естественно, шеф отправил мужика ко мне.

Хозяин ноута — типичный «православнутый»: масса историй про чудесные дела, наставления, к какому батюшке лучше идти и где в Подмосковье можно купить кусок земли, который во время Армагеддона поднимется в воздух, спасая всех, построивших там дома. В качестве картинки рабочего стола — какая-то крутая икона. Спрашиваю, зачем такая обоина. Говорит, защищает от вирусов и сбоев.

Через пару недель приносит снова свой ноут: сбои и зависания, вирусные стаи и косяки. Говорю, мол, обоина-то не помогла. Получаю ответ: «Бес попутал, по порносайтам полазил и нахватался».

Вера — верой, а делами подтверждать её надо. Хотя бы на блудниц не смотреть.

Меня довольно часто просят помочь с железом друзья, знакомые, знакомые друзей, а иногда и вообще незнакомые люди. Обычно стараюсь отказаться — не люблю я это дело, — но не всегда получается.

Не удалось и в этот раз. Говорят, компьютер тормозит, глючит, в целом ведёт себя неадекватно. Понятное дело: нахватались зверей заморских, да и система мало того что сборка какая-то, так ещё и криво настроена оказалась. Начал чистить. Пока пахал антивирус, я полез по любимым местам отдыха вирусов, чтобы вручную прихлопнуть нескольких гадов. В корне системного диска увидел директории «Саша кино», «Саша игры», «Саша музыка», а в конце этого списка — документ «Саша компьютеры.doc». Очень уж он меня заинтриговал, и не посмотреть внутрь я просто не мог.

Александр — компьютерная помощь.
Качественный ремонт и чистка вашего компьютера.
Тел.: ##-##-##.

У нас эти объявления чуть ли не на каждом столбе висят.

На втором курсе института написал я вирус в качестве курсовой работы по ассемблеру. Вирус был простым, как тапок: обычный COM TSR для реального режима x86 под DOS. Занимался он исключительно собственным размножением методом «подселения» ко всем найденным на разделе исполняемым файлам *.com, причём с файлами больше 64К работать не умел. Ничего вредного вирус не делал.

Работавший в те времена на моём компьютере антивирус был достаточно свежим (базы обновлял регулярно) и довольно эффективным — по крайней мере, «Чернобыль» из Windows 98 выковыривал быстро и качественно. Так вот, хоть модуль эвристики в антивирусе и присутствовал, но ни модуль «утки-подсадки», ни уже заражённые файлы он не определял. Мой вирус не общался с жёстким диском напрямую, а работал, как и все нормальные программы для DOS, через функции прерывания 21. Короче говоря, я был страшно горд, что написал вирус, который не обнаруживал надёжный антивирус, да ещё и небольшого размера — 1300 байтов с хвостиком.

Обновлённый до следующей версии антивирус уже определял моё детище как «возможный COM TSR вирус». Ещё через одну версию антивирус не только выдал табличку «Опасность, COM TSR вирус» при очередной проверке, но и правильно вылечил все заражённые файлы и удалил откомпилированный заражающий модуль. Мало того, этот крайне дотошный «антизверь» нашёл в одном из моих архивов исходный текст на ассемблере и снёс его во время той же проверки. Ни исходный текст, ни код самого вируса, ни заражённые файлы я никуда не отправлял и ни с кем ими не делился — только на защите преподавателю показывал.

С тех пор я не меняю этот антивирус ни на какой другой, только на новые версии перехожу. Проверил бы современную версию «на вшивость» своим старым добрым резидентом, да вот незадача: распечатки не сохранились, а все электронные копии были уничтожены предшественниками.

Злое утро. Пациент, кишащий заразой. Надо бы вылечить. Хард к здоровому компу — и вперёд. Проверяю CureIt под чётким надзором включённого ESET SS.

Обращение Cure IT к заражённому файлу:
— Неизлечим. Перемещён.

ESET, перехватывая файл из карантина:
— Изолирован. Очищен удалением.

Дальше ловим любителя исполняемых файлов Sality.

Cure IT:
— Исцелён.

ESET c запросом к пользователю без возможности лечения:
— Удалить?

Вот он, выбор суровых челябинских айтишников.