bash.im ithappens.me zadolba.li
2642

Кошелёк и жизнь

27 марта 2010, 09:00

Приносят бухгалтерский системник: странно себя вёл, перестала запускаться система. Снимаю винт, подключаю к своей машине. Чуть больше гигабайта информации на единственном разделе — очень странно. Осматриваю пострадавшего. В корне раздела только каталоги, никаких признаков файлов. Все каталоги с меткой «скрытый», внутри обломки винды и программ, большая часть файлов и каталогов скрыта.

Вспомнилась бородатая шутка про удаление 95-й винды Проводником перед форматированием раздела. Но на шутку не похоже — каталог с профилями пользователей весит пять мегабайт, изуродована не только система, но и каталоги с программами и пользовательскими файлами. Такого не смог бы сотворить даже самый криворукий пользователь. Картину венчает сиротливый каталог «Документы» с десятком файлов, у всех одинаковая дата последней модификации. Смотрю удалённые файлы — полный набор того, чего не хватает. Получается, кто-то резал винду живьём, не удосужившись даже закрыть открытые документы? Или что-то?

Запускаю восстановление и продолжаю заниматься своими делами. По окончании смотрю в карантин — NOD отловил среди восстановленных файлов выводок троянцев по фамилии «Kryptik.A**» (Каспером и Вебом опознаны как Packed.Win32.Krap.w и Trojan.Packed.687). Среди «живых» файлов обнаруживается ещё парочка модификаций троянца. Память подсказывает, что этот троянец был замечен на компах, с которых «ушли» доступ к WebMoney и банковскому счёту.

Из научного интереса решаю исследовать поведение троянцев. Зверёк № 1 прописался в системе, освоился, постучался в отключённую сеть и затих. Начинаю смотреть второго. В этот момент меня отвлекает кто-то из коллег, и я запускаю экзешник без контроля. Скрип винта и стремительно исчезающие каталоги. Опа!

Когда винт затих, мне открылась знакомая картина — сильно поредевший список «скрытых» каталогов. Ничего себе троянец! Перезагружаю виртуальную машину, запускаю злодея — как и предполагалось, он попытался удалить каждый файл на разделах, но залезть в каталоги с ограниченными правами не смог.

Некоторое время спустя я узнал, что с банковского счёта этой фирмы ушла немаленькая сумма. Раньше девизом «бандитов с большой дороги» было «Кошелёк или жизнь?» — теперь же не только грабят, но и убивают.