Рапидшара на шару
Кризис, туда его в качель. Из админов переквалифицировался в сервис-инженеры, но дух админский никуда не денешь.
Принесли машину. Уровень заражения приближён к паническому — куда быстрее переставить систему. Но это ведь не наш метод. Начинаем лечить. Обнаруживается замечательная связка из пятка троянов и классического Sality. Откуда он взялся и кто пришёл на машину первым? Оказалось, что главным «мальчишом-плохишом» был троян, который являлся частью очередного «очень нужного» приложения для одной очень популярной социальной сети. Сначала он явился сам, потом позвал друзей, которые занимались кражей паролей к онлайн-играм. После позвали к себе ещё парочку приятелей с подозрительным функционалом. Последним аккордом стал сам Sality.
Но самое забавное в этой истории другое. Как и откуда звали друзей? Правильно: с файлообменного сервиса, который любит отдавать файлы по директ-линкам при наличии премиум-аккаунта, который чуть ли не плейнтекстом указывается в HTTP-запросе. Имеем заражённую машину на входе, а на выходе — восстановленную систему, довольного клиента и премиум-аккаунт. Правда, всего трёхдневный, но ведь это не имеет значения, правда? Пока существуют ботнеты, мы без хлеба не останемся.