Вирусы

Случилось это, когда я подрабатывал в сервисной конторе в нашем городе. Когда я пришёл, меня отрядили на оптимизацию внутренней сети предприятия, на котором я работал. Так вот, сижу я, пытаюсь понять своих предшественников, разбираюсь потихоньку. Коллегу же выдернули по заявке в культпросветительскую организацию, на что я не обратил внимания поначалу. День шёл к обеду, а боец с фронта так и не возвращался. Иду я курить, получаю звонок на мобилу. Так и есть: коллега звонит, спрашивает, почему может не работать DHCP. Говорю, что причин может быть много, по телефону лучше такое не решать — пусть возвращается, а после обеда мы с ним сходим к заказчику вместе.

После обеда сажусь за тот самый комп, наблюдаю 2003-й сервер от дядюшки Билли с поднятым доменом, DHCP, DNS, принт-сервером, WINS, раздачей интернетов. Всё, как в лучших домах Парижа, вот только эта роскошь обслуживает семь компьютеров. Спрашиваю, а зачем, собственно, такие сады разводить? Что должно располагаться в сети? Ответ убил: по сети они хотели получать только возможность печати и... правильно, интернет со всеми его «мейлами-ру», «контактами», «одноклассниками» и аськами.

Ну, думаю, бог с ним. Смотрю детально на горе-сервер: DHCP запущен, но клиентам не даёт даже адрес. Размышляю, лениво клацая по процессам, и понимаю, что чего-то не хватает виндовому серверу. Ага, вот оно что: антивируса-то и нет! Стоп, думаю, а как же защита от живности? Решаю проверить на скорую руку сервер, отрубаю его от свитча, втыкаю свою флешку, запускаю AVZ, жду. Смотрю результат обычного сканирования: среди прочей живности нашёлся «авторан», услужливо загнанный на мою флешку.

Ну, думаю, приплыли. Встаю, спрашиваю, а кто же настраивал всю эту прелесть? Ответ меня смутил и заставил внутренне устыдиться: в эту контору пришёл мальчик-студент, который чуть-чуть поработал в техподдержке дочерней конторы крупнейшего мирового нефтяного гиганта с британо-голландскими корнями.

Вежливо сообщаю руководителю, что для всех будет проще, если контора наймёт нашего специалиста, который в течение двух дней настроит им всё и, учитывая, что предприятие бюджетное, сможет обойтись бесплатным ПО. Выйдя за дверь, я уже невежливо позвонил супервайзеру техподдержки этого самого дочернего подразделения нефтяного гиганта и по-свойски (на русско-матерном) объяснил, что своих людей им надо срочно отправить на курсы по сообразительности. Зачем строить колосс, когда ноги один фиг глиняные, да и нужды-то в колоссе нет?

Написал программу по ограничению возможностей пользователей. Притащил в офис на бета-тестирование самому изобретательному юзеру и пообещал пиво, если тот сможет обойти защиту. Через час звонит — говорит, что обошёл. Оказалось, NOD32 посчитал мою программу неизвестным вирусом. Ушлый юзер отправил файл на карантин и в лабораторию ESET. Пиво юзеру я выдал, а файл добавил в исключения.

Через месяц приезжаю с новой версией, запускаю — через пять секунд NOD32 отправляет файл в карантин, дав ему погоняло с приставкой «Win32».

После одного из незащищённых половых контактов с глобальной сетью знакомый паренёк стал счастливым обладателем одного из многочисленных порнобаннеров, требующих отправить SMS на указанный номер, чтобы получить заветный код, а пока посмотреть в деталях, «какой у папы большой». Деньги отправлять никто не собирался. Человек пару дней ходил в печали: сам он в компьютерах был слабоват, а потому не был знаком с разнообразными методиками экзорцизма.

Выход нашёлся крайне занятный. Товарищ посоветовал ему ввести в строке для пароля русскими буквами в английском регистре самую популярную фразу всея Руси: «Иди на х@й». Любопытно, но баннера больше никто не видел. Видимо, отправился-таки в путешествие.

Прихожу к клиенту, делаю свою работу. Когда уже всё готово, меня просят взглянуть и дать рекомендации по второму компу. Соглашаюсь — а чего бы ещё немного не заработать, может, дело пустячное. Показывают на системник: «Сгорел, видимо». Интересуюсь, с чего такая уверенность, — отвечают, мол, доча вот тут вирусы лечить пыталась. Доче лет 14–15.

Начинаю прокручивать в голове варианты. Аккуратно, не спеша, ставлю системник на стол и рукой нащупываю инородное вещество сзади, чуть ниже БП. Поворачиваю посмотреть и слышу продолжение истории про дочу и вирусы.

В общем, антивирус на компе нашёл заразу, а доча провела логические изыскания следующего толка: «Вирус — болезнь — болезнь лечат лекарствами — компьютер надо лечить». Инородное вещество оказалось высохшим «Терафлю», вылитым в работающий БП.

Вызывают в один из офисов, которые я админю: полетело по очереди три компа. Ну, думаю, ясно, кто-то принёс из дома флешку и показал всем новый фильмец. Качаю свежий Dr.Web Live CD, записываю, еду.

На месте оказывается, что один вообще не загружается, другой работает, но «вылетает минут через десять», а третий я уже смотрел и постановил везти в сервиску — уж больно характерный писк он издавал. Неисправный БП, кондёры не вспухли — пусть сами чинят или меняют, без меня.

В общем, мысли об эпидемии разом отпали. Смотрю самого тяжёлого — реакция на включение есть, диоды горят. Сенсорные кнопки включения и перезагрузки весело мигают, заставляют комп жужжать, но на экране всё тот же Малевич. Втыкаю заведомо рабочий монитор с другим шнуром — ноль. На корпусе сервисные пломбы, причем свежие. Думаю, ребятам повезло.

Начало настораживать, что ИБП включён только под столом у уволенного сотрудника, а в остальных местах они заботливо стоят в сторонке. Действительно, зачем все усложнять! Загружаю оставшийся компьютер, который слетает через десять минут, чтобы отловить глюк. Читал Википедию, проходил ACID-тест — ничего не происходит. Перегружаюсь, скармливаю ему «диск жизни» доктора Веба.

Настраиваю приоритеты, действия, логи. Старт. Ухожу наводить порядок и ставить всё развороченное на место. Возвращаюсь — что за беда, уснул! На клавиатуру и мышь не реагирует, но мигает индикаторами на корпусе. Вспоминаю, что мой относительно свежий ноут с той же Убунтой или Дебианом не выходит из спячки без правильных видеодров.

Как сделать, чтобы комп не спал? Правильно, читавший IT happens тут же вспомнит историю про мышкину письку. Но морочиться с вентиляторами мне не хотелось, а блок для удобства не открыть — пломбы...

Решение пришло внезапно: открываю терминал, запускаю cat /dev/urandom. Окошко тут же заполняют резво бегущие кракозябры. Часом больше, часом меньше — всё равно ему ночь крутиться. Приклеиваю провод мышки к верхней крышке большого CRT-монитора, кладу мышку на окошечко терминала — красота! Курсором овладели такие неистовые корчи, что даже жалко беднягу стало.

Потянулся за мобильным, чтобы сфоткать. Не успел я запустить проверку, как система благополучно рухнула, как и в прошлый раз, мигая индикаторами, но не реагируя ни на устройства ввода, ни на Reset.

Ну, думаю, отправляйся к праотцам, то есть к саппортам. А я получу малость за то, что морочился тут, посоветую включить оставшиеся машины в ИБП и — домой, домой! Не железячник я, да и вообще биолог по образованию.

Не понимаю я сисадминов в принт-центрах! Ежедневно у них распечатываются сотни самых разнообразных документов от банальных копий до цветных визиток и чертежей формата А1. Все флешки попадают в один комп, конфигурацию которого и так нельзя назвать подходящей. На бедном системнике, еле-еле ворочая библиотеками и реестром, который напоминает городскую свалку, заикаясь и кашляя, работает старая добрая Windows XP, в защите которой стоит доблестный Касперский. Кого волнует, что авторан не отключён, а бедный Каспер говорит, что не ел обновлений уже 380 дней? Кого волнует, что в скромном гигабайте памяти висят консоли управления всеми принтерами и МФУ в этом заведении (я насчитал два струйника, три лазерных, два плоттера и три страшных МФУ размером с письменный стол), а также Microsoft Office, Photoshop и прочие радости типографской деятельности?

И что получается: прихожу что-нибудь распечатать, даю флешку, девушка втыкает ее в USB-хаб. В мирном царстве вирусов раздаётся сигнал: «Тревога — обнаружено устройство!» — и весь этот террариум табунами летит на флешку. Затем девушка открывает «Мой компьютер» и запускает Касперского. Доходяга пыхтит-скрипит; то ли эвристика срабатывает, то ли какой-то вирус древний таки попадается, и она с озабоченным видом говорит: «А у вас-то вирусы на флешке!» Делаю грустное лицо и киваю — не буду же её расстраивать, что у меня дома Убунту.

Воткнув флешку в свой домашний комп, я обнаружил восемь скрытых экзешников в корне, авторан, пару VBS, действие которых я так и не понял, и три папки с батником и экзешником внутри каждой — итого чёртова дюжина вирусов!

На днях звонит мне один хороший знакомый и просит избавить его от порнобаннера Winlock — не радуют его, мол, интим-фотографии на рабочем столе, работать невозможно. Не вопрос — приезжаю, сразу загружаю безопасный режим и включаю CureIt.

— И что же, ты даже посмотреть на женские гениталии не хочешь? — удивляется знакомый.
— Да чего я там не видел?
— А я хотел тебе свои показать.

Через секунду взорвались дружным хохотом.

Небольшое предприятие, парк из сотни с небольшим виндовых машин в локалке. Финансирование слабое, поэтому антивирусное ПО установлено только на десктопах избранных. Сам парк состоит из «современных» рабочих станций, на которые антивирусное ПО трудно прикрутить в силу их неспешности. Персонал сплошь пенсионный да предпенсионный, поэтому о переходе на линукс можно и не заикаться — в категорические штыки воспринимается даже пробная установка OpenOffice. Обслуживает всё это безобразие админ (который, впрочем, бывает на месте редко) да пара человек помощников.

Случилось то, чего и следовало ожидать. Завелись на просторах сетки злобные чудо-звери — Kido.ir да Kido.ih. Не буду долго описывать методы борьбы с заморским чудом, скажу только, что искоренить врага окончательно так и не удалось в силу административных преград:

1) Машины разом не проверить — начинается нытье: «Вы нам работать не даёте! Мы на вас жалобу напишем!»

2) Шары не закрыть по той же причине. Ну не могут наши юзвереватые бабульки пользоваться корпоративной почтой — им подавай доступную по сети папку, в которую они «сажают» документы.

3) Даже если отмести всё вышеперечисленное и централизованно «залечить» машины в локалке, все равно останутся отключённые от сети машины, с которых зараза через флешки и дискеты перекочует на незащищённый компьютер.

Во всей этой истории есть один плюс: теперь у нас есть общий питомец по имени Кидошка. Если где случается какая оказия — принтер не печатает или сетка пакеты теряет, — кто-нибудь из нас обязательно вспоминает про любимого домовёнка.

Админю небольшую организацию: три десятка компов и сервер. По совместительству я, будучи единственным, соображающим в компах, помогаю всем пользователям — кому советом, кому приезжаю на дом комп чинить.

Сижу на работе, удаляю порнобаннер с компьютера блондинки («ничего не делала, он сам появился»). Заходит другой сотрудник, лицезреет баннер: «Вот, такая-сякая, лазит, где не надо! Не убирай, пусть директор увидит». Посмеялись, он ушёл домой, а я посидел еще минут пять, пошаманил и баннер злополучный удалил.

На следующий день вижу этого сотрудника с весьма озадаченным лицом. Приволок мне свой ноутбук с точно таким же баннером — хорошо хоть, честно признался, где лазил.

Юзер, не желай зла ближнему своему!