|
|
Охота на Дашу |
Текст впервые опубликован в журнале Подводная лодка N2, 2005. |
|
Никогда не имейте никаких дел с незнакомцами. Если следовать этому простенькому правилу, можно уберечь себя от многих неприятностей. Хотя при таком поведении жизнь станет гораздо беднее на различные неожиданности и сюрпризы. Впрочем, здесь каждый выбирает для себя сам. Лично я весь Новый год посвятил отлову свежего вируса, который не идентифицировался ведущими антивирусными продуктами. Спешу поделиться полученным опытом. |
||||||||
|
Спустя некоторое время начались чудеса. Сначала на меня обрушился шквал "приветиков", при этом в качестве обратных адресов фигурировали уже имена (правда, несуществующие) из моего рабочего домена. Хорошо, что у меня широкий канал, потому что при модемном доступе я бы просто утонул в этом потоке. После настройки спам-фильтрации в Outlook мое внимание переключилось на Media Player, который при запуске начал показывать подгружаемую из Интернета заставку. Помня, что брандмауэр должен блокировать ему всякий доступ в сеть, я поискал в панели задач свой Agnitum Outpost. Его там не оказалось, а попытки перезапустить службу к успеху тоже не приводили. "Невелика беда, – подумал я. – Наверное, бесплатная версия сломалась, пора покупать Outpost Pro". И только, обратив внимание на непрерывную активность SpiDer Mail, я заподозрил неладное. Этот компонент антивирусного пакета DrWeb проверяет на вирусы как входящую, так и исходящую почту, иллюстрируя процесс анимированным значком (в неактивном состоянии значок статичен). Но в текущий момент моя почта бездействовала! Выходит, все-таки какая-то дрянь все же поселилась на компьютере, причем в базы данных DrWeb она еще не успела попасть. Пришлось наводить порядок самостоятельно. |
||||||||
|
Для начала я решил удалить исходный файл-скринсейвер и, поскольку не помнил его имени, просто поискал по маске *.SCR. К удивлению, кроме исходного "Я бухая.SCR" на жестком диске отыскалось еще около 30 файлов подозрительного вида в тех местах, где скринсейверу делать было ну совсем нечего. Перейдя в одну из таких папок, я обнаружил следующие четыре файла:
Ежу было понятно, что это вирусы. К тому же все файлы имели одинаковый размер 26 368 байт. Для начала я напустил на них онлайновую проверку на вирусы с сайтов www.avp.ru и www.drweb.ru. Однако, к моему немалому огорчению, она не дала ни малейших результатов, и я потер все эти файлы (оставив экземплярчик на память), а затем запустил MSCONFIG, чтобы разобраться с автозагрузкой. К сожалению, в ней не нашлось ничего подозрительного, и, перезагрузив компьютер, я лишний раз убедился, что вирус никуда не делся. Пришлось вторично убивать злодейский процесс. Я решил просмотреть реестр вручную и запустил редактор REGEDIT. Знакомое окно не появилось, но SpiDer Mail снова начал что-то проверять, и пришлось опять воспользоваться "Диспетчером задач". На этот раз врагом оказался сам REGEDIT. Просмотр каталога Windows выявил два программных файла с таким именем – стандартный REGEDIT.EXE и REGEDIT.COM уже знакомого мне вирусного размера. При запуске программы по имени без указания расширения операционная система сначала ищет файл с расширением COM, а уж потом EXE (порядок перебора расширений задается системной переменной среды PATHEXT). |
||||||||
|
Удалив и этого засланца, я смог наконец-то добраться до настоящего редактора реестра: не мудрствуя лукаво, выгрузил весь реестр в текстовый файл (в однобайтовой кодировке REGEDIT4) и принялся искать там злосчастный SVCHOST.EXE. Помимо ожидаемых строк вида:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A1E75357-881A-419E-83E2-BB16DB197C68}\LocalServer32] он был обнаружен в совершенно неуместном, простите за тавтологию, месте:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] В переводе на русский язык это означает, что при запуске "Проводника" автоматически запускается и файл SVCHOST.EXE, но при этом он запускается не от имени системы, а от имени того пользователя, который в ней регистрируется. Именно по этой особенности я и определил вирус (точнее, почтовый червь) среди других процессов. Кстати, и размещается он не в подкаталоге SYSTEM32, а в папке WEB. Дальнейшее было делом техники – удалить лишнее из реестра, уничтожить сам файл, три раза сплюнуть через левое плечо, перезагрузиться, постучать по дереву, войти в Интернет. Кажется, теперь никакой посторонней активности не наблюдается. Кстати, и Outpost после этого ожил, как ни в чем не бывало. Отправив письма обеим уважаемым антивирусным компаниям, я через некоторое время получил ответ от "Лаборатории Касперского". По их классификации, мой нежданный гость оказался червем E-mail-Worm.Win32.Kipis.c. Впрочем, с точки зрения последнего обновления Dr.Web этот червь носит имя Win32.HLLM.Dasha. Это еще раз доказывает, что ведущие производители антивирусов никак не могут выработать единую систему маркировки вредоносного софта.
Инцидент оказался полностью исчерпан, но в этот раз мне повезло. Червь не стер ни одного документа, и, заражая систему, создавал новые файлы, а не коверкал существующие. Тариф у меня безлимитный, и на трафике я тоже финансовых потерь не понес. Так что нездоровое любопытство не привело к каким-либо печальным последствиям. С другой стороны, будь вирус немного умнее, он смог бы блокировать и "Диспетчер задач", и изменения в реестре, и тогда справиться с ним было бы значительно сложнее. Так что, несмотря на относительную легкость, с которой было устранено присутствие злонамеренного кода в системе, я, пожалуй, поостерегусь впредь запускать незнакомые файлы даже при трижды активном антивирусе. Чего и вам желаю, уважаемые читатели! |
История эта случилась в самое сказочное
время – в новогодние каникулы. Дарованный новым Трудовым Кодексом промежуток
времени хотелось использовать максимально продуктивно, и компьютер трудился,
не покладая байтов. Следует сказать, что Новый год совпал с пиком активности
в Интернете в плане заведения новых знакомств, поэтому, получив письмо с
игривой темой "Приветик", я не очень удивился. Правда, его содержимое не
совсем отвечало представлениям о моих знакомых, да и жена проявила излишнюю
заинтересованность вложением под названием "Я бухая.jpg". Однако я быстро
разобрался, что письмо не имеет ко мне никакого отношения. Во-первых,
обратный адрес на @bk.ru был мне совершенно неизвестен, хотя (как любезно
сообщил "М.Агент") и существовал в действительности. Во-вторых, письмо было
написано достаточно обезличенно и подходило для любой особи мужского пола. И
на том бы все и кончилось, но в послание, кроме малюсенькой картинки с
полуголой девушкой (а каждый уважающий себя пользователь Интернета, без
сомнения, знает, где найти больше, лучше и красивее), был вложен скринсейвер. Тут у меня наступило временное помутнение рассудка. Конечно,
мне было известно, что этого делать не стоит, но я только что обновил
антивирусные базы, у меня стоит брандмауэр Outpost… Да и, в конце концов,
кул я хацкер, или не кул? Запущенный файлик выдал сообщение, что ему не
хватает какой-то библиотеки, и я, потеряв к нему интерес, успокоился.
Конечно, можно было бы отказаться от
доступа в Сеть и ждать обновления, но, во-первых, название вируса было
неизвестно (а следовательно, не было уверенности в том, вылечит ли его
очередной релиз), а во-вторых, не хотелось сидеть сложа руки. После запуска
"Диспетчера задач" враг нашелся достаточно быстро. Им оказался процесс SVCHOST.EXE. В принципе, это один из системных компонентов операционной
системы, да и присутствует он в списке несколько раз, но от своих безобидных
собратьев этот отличался как постоянной активностью, так и нестандартным
запуском. В отличие от настоящих системных служб он был запущен от имени
пользователя. Пришлось пристрелить инсургента кнопкой "Завершить процесс" –
и активность SpiDer
Mail тут же прекратилась. "Ага!" –
подумали русские лесорубы в моем лице и продолжили размышления по поводу
искоренения заразы. 
