- Ìàíÿùèé ñûð -
Ìàíÿùèé ñûð
…èëè “Íîâûé óêðàèíñêèé ëîõîòðîí 2”.
Íàâåðíîå, ÷èòàòåëè “Êîìïüþòåðà” åù¸ ïîìíÿò ìîþ ñòàòüþ “Íîâûé óêðàèíñêèé ëîõîòðîí”.  íåé ÿ ðàññêàçûâàë î ïðèêëþ÷åíèÿõ ìîåãî ïðèÿòåëÿ ïî èìåíè Øóðèê, êîòîðîãî óãîðàçäèëî ïîâåðèòü ñîáåñåäíèêó â ÷àòå è åãî ïðåäëîæåíèþ ñêà÷àòü ñåáå ÿêîáû ãåíåðàòîð êîäîâ êàðòî÷åê äëÿ ïîïîëíåíèÿ ñ÷¸òà ìîáèëüíîãî òåëåôîíà. Ïðèÿòåëü, áóäó÷è íåîïûòíûì íîâè÷êîì è ïðèâûê çàïóñêàòü âñ¸, ÷òî ïîïàä¸ò ïîä ðóêó, åñòåñòâåííî çàïóñòèë ñêà÷àííóþ ïðîãðàììó, à îíà, îêàçàâøèñü òðîÿíîì-âûìîãàòåëåì, â ñâîþ î÷åðåäü íàðóøèëà íîðìàëüíóþ ðàáîòó îïåðàöèîííîé ñèñòåìû íà åãî êîìïüþòåðå.
È âîò, ïðîøëî ñîâñåì íåìíîãî êîñìè÷åñêîãî âðåìåíè, âñåãî-òî ìåñÿöà 4, êàê óæå äðóãîé ìîé ïðèÿòåëü, íàçîâ¸ì åãî Æîðèê, òî÷íî òàê æå â ÷àòå îáùàÿñü ñ óæå äîâîëüíî õîðîøî çíàêîìûì ñîáåñåäíèêîì êëþíóë íà òó æå ïðèìàíêó, òî áèøü íà áåñïëàòíûé ñûð â âèäå âñ¸ òîãî æå ãåíåðàòîðà êîäîâ êàðòî÷åê äëÿ ïîïîëíåíèÿ ñ÷¸òà ìîáèëüíèêà. Åìó ïðåäëîæèëè ïîñåòèòü ñòðàíè÷êó è ñêà÷àòü ôàéë infostore.org/info/1384466/setup.exe ðàçìåðîì 136704 áàéòà. Ñêà÷àâ, îí çàïóñòèë åãî è òóò æå ïîíÿë, ÷òî ñîâåðøèë ãëóïîñòü. À, ñîâåðøèâ ãëóïîñòü, âñå ÷òî äåëàþò? Ïðàâèëüíî, èùóò ïîìîùè ó äðóãèõ, íàïðèìåð ó ñâîèõ çíàêîìûõ. Òàêèì çíàêîìûì, êàê è â ïåðâîì ñëó÷àå, îêàçàëñÿ ÿ. Ïîñëå êîðîòêîãî äèàëîãà:
- Êàê, è òû Æîðèê íà òå æå ãðàáëè ïîïàëñÿ? Íó, êàê òû ìîã? Ìäà, à âåäü ÿ áûë î òåáå ëó÷øåãî ìíåíèÿ.
- Äà âîò òàêàÿ … ïðèêëþ÷èëàñü … ïîíèìàåøü. È ÷òî òåïåðü äåëàòü? ßðëûêè ñ ðàáî÷åãî ñòîëà ïðîïàëè. Ñèñòåìíûå ïàïêè èñ÷åçëè, ñèñòåìà âûäà¸ò ñîîáùåíèå, ÷òîáû ÿ ïðèñëàë êîä ñâåæå êóïëåííîé êàðòî÷êè íà àäðåñ nice@privat.ms, èíà÷å áåñïîðÿäêè íà êîìïå íå ïðåêðàòÿòñÿ.
Ìäà, à âåäü ó Æîðèêà ñòîèò àíòèâèðóñ NOD32. Âîò âåäü øëÿïà.
Çàñó÷èâ ðóêàâà è çàêóñèâ ãóáó
Âåðíåå ñêàçàòü, ýòî ïðèÿòåëü çàêóñèë ãóáó îò îãîð÷åíèÿ è îò÷àÿíèÿ, à ÿ, çàñó÷èâ ðóêàâà îò ïðèñóùåãî ìíå ïàôîñà è ñàìîìíåíèÿ, ïðèíÿëñÿ áîðîòüñÿ ñ ïîñëåäñòâèÿìè åãî áåñïå÷íîñòè.
Äîëãî òóò ðàññêàçûâàòü íå÷åãî, ïîñêîëüêó èìååò ñìûñë ïåðåéòè ñðàçó ê îïèñàíèþ èíñòðóêöèè ïî îáåçâðåæèâàíèþ äàííîé ãàäîñòè.
Íî ñíà÷àëà ñëåäóåò ñêàçàòü, ÷òî íå îñòàâëÿÿ ïîïûòîê îáåçâðåäèòü òðîÿí, ÿ âñ¸ æå ðåøèë, ÷òî áóäåò íå ëèøíèì ïîäêëþ÷èòü ê ìîèì óñèëèÿì îïûò è âîçìîæíîñòè ëàáîðàòîðèé èçâåñòíûõ àíòèâèðóñíûõ ðàçðàáîò÷èêîâ Êàñïåðñêîãî ( www.kaspersky.ru), Doctor Web ( www.drweb.ru), è îòå÷åñòâåííîãî UNA Soft ( www.unasoft.com.ua) è óòèëèòû AVZ Çàéöåâà Îëåãà ( z-oleg.com/secur/avz/download.php). Íàäî ñêàçàòü, ÷òî íà ìîé ïðèçûâ î ïîìîùè ïåðâûìè áóêâàëüíî óæå ÷åðåç 130 ìèíóò îòêëèêíóëñÿ Îëåã Çàéöåâ, à ñëóæáà ïîääåðæêè “Êàñïåðñêîãî” è òîãî ðàíüøå – ÷åðåç 90 ìèíóò. Îáà äàëè ìíå ÷¸òêóþ õàðàêòåðèñòèêó òðîÿíà è èçâåñòèëè ìåíÿ, ÷òî ìîé ïðèÿòåëü ÿâëÿåòñÿ “ñ÷àñòëèâûì” îáëàäàòåëåì î÷åðåäíîé ñâåæåé ìîäèôèêàöèè òðîÿíà Trojan.Win32.Krotten, à èìåííî Trojan.Win32.Krotten.bd.
Îò Êàñïåðñêîãî ìíå ïðåäëîæèëè ïîñåòèòü ñàéò ðàçðàáîò÷èêà àíòèâèðóñà è ñêà÷àòü ìàëåíüêóþ óòèëèòêó äëÿ ëå÷åíèÿ ñèñòåìû èìåííî îò ñåìåéñòâà äàííîãî òðîÿíà ( ftp://d-ru-1f.kaspersky-labs.com/utils/klwk/KLWK.ZIP, 70Êá).  òîæå âðåìÿ Îëåã Çàéöåâ íå îãðàíè÷èëñÿ êðàòêèì îòâåòîì, à íàïèñàë ïîäðîáíóþ èíñòðóêöèþ ïî îáåçâðåæèâàíèþ òðîÿíà:
1. Íà äèñêå C: íàéòè ïàïêè "Windows 91", "Windows 98" è ïðîâåðèòü èõ
ñîäåðæèìîå. Åñëè ïàïêè ïóñòûå, òî óäàëèòü èõ.
2. Òðîÿí ñòàâèò àòðèáóòû "ñêðûòûé" äëÿ ïàïêè Windows - íóæíî âåðíóòü
åé íîðìàëüíûå àòðèáóòû ïðè ïîìîùè ëþáîãî ìåíåäæåðà ôàéëîâ, íàïðèìåð
FAR. Àíàëîãè÷íî ñ ïàïêîé Program Files - îíà íà ìåñòå, òîëüêî àòðèáóòû
ó íåå "ñêðûòûé" è "ñèñòåìûé". Ìîæíî êîíå÷íî ýòîãî è íå äåëàòü - íà
ðàáîòå ñèñòåìû ýòî íå ñêàçûâàåòñÿ.
3. Äàëåå âñå ñäåëàåò AVZ – íóæíî:
3.1 Îáíîâèòü áàçû AVZ.
3.2 Ïðîëå÷èòü ñèñòåìíûé äèñê C.
3.3 Âûïîëíèòü ìåíþ "Ôàéë/Âîññòàíîâëåíèå
ñèñòåìû" è îòìåòèòü âñå îïöèè, êðîìå "Âîññòàíîâëåíèå íàñòðîåê çàãðóçêè
â SafeMode", ïîñëå ýòîãî íàæàòü "Âûïîëíèòü îòìå÷åííûå îïåðàöèè".
3.4 Ïåðåçàãðóçèòüñÿ.
4. Ïîñëå ïåðåçàãðóçêè âñå äîëæíî ñòàòü íîðìàëüíî ... Äëÿ íàäåæíîñòè
îïåðàöèþ 3 ìîæíî ïîâòîðèòü åùå ðàç.
5. Çàéòè â ïàíåëü óïðàâëåíèÿ, òàì - â "ßçûê è ðåãèîíàëüíûå ñòàíäàðòû"
- è òàì íà ïåðâîé çàêëàäêå ïåðåêëþ÷èòü ñ ðóññêîãî ñêàæåì íà
ðóìûíñêèé è íàçàä - ýòî ïðèâåäåò ê âîññòàíîâëåíèþ ðåãèîíàëüíûõ
íàñòðîåê, â ÷àñòíîñòè, ôîðìàòíîé ìàñêè âðåìåíè - ïîñëå ýòîãî ÷àñû â òðåå è îòîáðàæåíèå âðåìåíè â ïðîãðàììàõ íîðìàëèçóåòñÿ.
Çàáåãàÿ âïåð¸ä, ñêàæó, ÷òî ëè÷íî ïî ìîèì íàáëþäåíèÿì, ñíà÷àëà ñëåäóåò çàïóñòèòü óòèëèòó îò “Êàñïåðñêîãî” ñ ïàðàìåòðîì “/s” (äëÿ ïðîâåðêè âñåõ äèñêîâ) òàê:
Klwk.com /s
ïîñêîëüêó îíà âåñüìà áûñòðî îáíàðóæèò âðåäèòåëÿ è âîññòàíîâèò íàðóøåííûå íàñòðîéêè ñèñòåìû íà ìåñòî, à óæå ïîòîì ïðîñòî çàïóñòèòü AVZ, è âûïîëíèòü ïóíêò 3.3 èíñòðóêöèè Îëåãà Çàéöåâà, èíà÷å ðèñêóåòå ñòîëêíóòüñÿ ñ íåäîñòóïíîñòüþ ñëóæáû “Óñòàíîâêà è óäàëåíèå ïðîãðàìì”.
Ñàì "çâåðü" èìååò ðàçìåð 53777 áàéòà, íè÷åì íå ñæàò è íå çàøèôðîâàí.  ìîìåíò çàïóñêà êîïèðóåò ñåáÿ â ñèñòåìíûå ïàïêè:
WINDOWS/system32/AudioHQ.dll.exe
WINDOWS/system32/oobe/explorer.exe
è ïðîïèñûâàåò ñåáÿ â àâòîçàïóñê ïðè ïîìîùè ñòàíäàðòíîãî êëþ÷à ðååñòðà
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/Run
(ïðè÷åì â àâòîçàïóñê ïðèïèñûâàåòñÿ îáà ôàéëà)
Îáå ïðîãðàììû ñîâåðøåííî èäåíòè÷íû è îòëè÷àþòñÿ òîëüêî ìåñòîïîëîæåíèåì. Ïðîöåññ îòðàáàòûâàåò è çàâåðøàåòñÿ (ò. å. îíè íå âèñÿò â ïðîöåññå ðàáîòû â ïàìÿòè, ÷òî çàòðóäíÿåò îáíàðóæåíèå).
Äåñòðóêòèâíîå äåéñòâèå ñîñòîèò â
1. ñîçäàíèè ðÿäà êëþ÷åé ðååñòðà, êîòîðûå îãðàíè÷èâàþò äåéñòâèÿ ïîëüçîâàòåëÿ (ò.í. Policies), íàïðèìåð áëîêèðóåòñÿ çàêðûòèå îêíà ïðîâîäíèêà, íåò äîñòóïà ê ìíîãèì íàñòðîéêàì, áëîêèðóåòñÿ çàïóñê RegEdit.
2. Äîáàâëÿåò ïàðàìåòðû WinLogon, âûâîäÿùèå ïðè çàãðóçêå ñîîáùåíèå "Åñëè òû õî÷åøü âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail gsmcoders@walla.com êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ..." ñ çàãîëîâêîì îêíà "DANGER".
3. Ìåíÿåò ðÿä íàñòðîåê IE (çàãîëîâîê îêíà, ñòàðòîâóþ ñòðàíèöó).
4. Ìåíÿåò ôîðìàòíóþ ñòðîêó, îòâå÷àþùóþ çà ôîðìàòèðîâàíèå âðåìåíè (â ðåãèîíàëüíûõ íàñòðîêàõ), ÷òî ïðèâîäèò ê âûâîäó âìåñòî âðåìåíè â ïðîãðàììàõ (â òîì ÷èñëå â SysTray) íåöåíçóðùèíû.
5. Ñòàâèò àòðèáóòû "ñêðûòûé", "ñèñòåìíûé" äëÿ Windows, Program Files (ïðè ýòîì äåëàåò ýòî íåêîððåêòíî - ïàïêè èùóòñÿ íà äèñêå C:/), ñîçäàåò íåñêîëüêî ïîñòîðîííèõ ïàïîê, â ÷àñòíîñòè "Òèïà WINDOWS" "Òèïà WINDOWS2" "Òèïà Ìîè Äîêóìåíû".
…
Èçâåñòåí âòîðîé âàðèàíò äàííîãî òðîÿíà - REG ôàéë, âûïîëíÿþùèé àíàëîãè÷íûå ïî ñóòè äåéñòâèÿ.  ýòîì ñëó÷àå øàãè ëå÷åíèÿ àíàëîãè÷íû, íî íà ñòàäèè 2 íå áóäåò óêàçàííûõ EXE ôàéëîâ.
Íàêîíåö-òî
Òåïåðü îò ñåáÿ. Ñêàæó, ÷òî â ðåçóëüòàòå òðîÿí-âûìîãàòåëü áûë íàìè óñïåøíî îáåçâðåæåí è óäàë¸í ñ êîìïüþòåðà Æîðèêà áåç ïîñëåäñòâèé, çà ÷òî ìîÿ ãëóáîêàÿ áëàãîäàðíîñòü Îëåãó Çàéöåâó è “Êàñïåðó”. Ìäà, âîò òàê ïðèÿòåëþ ÿ ïîìîã ñýêîíîìèòü 25 ãðèâåíü íà îòêóï è åù¸ êó÷ó íåðâíûõ êëåòîê, êîòîðûå, êàê èçâåñòíî, íå âîññòàíàâëèâàþòñÿ, â îòëè÷èå îò îïåðàöèîííîé ñèñòåìû. Ñîáñòâåííî ÿ ñ ïåðâûõ ìèíóò ýòîé ïîó÷èòåëüíîé èñòîðèè ñêàçàë Æîðèêó, ÷òîáû îí íå ìàíäðàæèðîâàë ïåðåä êîìïüþòåðîì è ïåðåä òàêèìè ñèòóàöèÿìè â ÷àñòíîñòè.
Îñòà¸òñÿ ñêàçàòü, ÷òî îò Äîêòîðà Âåáà ìíå îòâåòèëè ÷óòî÷êó ïîçäíåå, ïðè ýòîì ïîïðîñèëè îòîñëàòü âèðóñ åù¸ ïî îäíîìó èõ àäðåñó. Ïîñëå ÷åãî îòâåòà ÿ æäó äî ñèõ ïîð. Òàê æå “îïåðàòèâíî” ïðîèãíîðèðîâàëè ìîþ ïðîñüáó è â UNA Soft. Âèäèìî, íàøè çåìëÿêè óâëå÷åíû êîðïîðàòèâíûìè êëèåíòàìè áîëüøå, ÷åì èõ ðîññèéñêèå êîëëåãè.
Íó à ÷òî æå íàø äîìîðîùåííûé Ðîáèí Ãóä? À îí ïðîñòî ïåðåí¸ñ ñâîé òðîÿí÷èê ñî ñòàðîãî àäðåñà www.ccniaydh.nm.ru/codgen7.5.exe íà äðóãîé, è ïî÷òîâûé ÿùè÷åê gsmcoders@rambler.ru ïîìåíÿë íà íîâûé. Âèäèìî, îí íàèâíî ïîëàãàåò, ÷òî äî íåãî êîìïåòåíòíûå îðãàíû íå äîáåðóòñÿ. Åñëè áû ó ìåíÿ õâàòèëî âðåìåíè, ÿ áû ïîäêëþ÷èë ê äàííîé ïðîáëåìå íå òîëüêî ÏÎøíèêîâ, íî è ÎÁÝÏíèêîâ. À èì â ñâîþ î÷åðåäü âñåãî-òî íàäî áûëî áû îòñëåäèòü ìîáèëüíèê, ñ êîòîðîãî âîñïîëüçîâàëèñü ìå÷åíîé êàðòî÷êîé.
Òàê, ÷òî ó íàøåãî Ðîáèí Ãóäà âñ¸ åù¸ âïåðåäè – ýòî è óâåñåëèòåëüíîå ïóòåøåñòâèå â ìåñòà íå ñòîëü îòäàë¸ííûå, ãäå îí ñìîæåò íàñëàæäàòüñÿ âèäàìè íåáà â áîëüøóþ êëåòêó, è äåãóñòàöèÿ áàëàíäû, è ïðèÿòíîå è âñåñòîðîííå ðàçâèâàþùåå îáùåíèå ñ óìóäð¸ííûìè îïûòîì ñîêàìåðíèêàìè. Óâàæàåìûå äðóçüÿ, ïîæåëàåì åìó ïðèÿòíî îòäîõíóòü îò òðóäîâ “ïðàâåäíûõ”! :)
|