Лет десять назад, во времена 98-й и NT, хаживал я в одну конторку лечить вирусы, настраивать инет и вправлять руки моральным воздействием.
Жалуется секретарша по телефону: «У меня по экрану мышь бегает, что-то нажимает, окна какие-то сами открываются». Приезжаю. Стоит свежий Каспер, базы обновлены. Чего только не делаю: переворачиваю всё, проверяю с загрузочных дискет из-под чистого доса, другими свежими антивирусами прогоняю... Нет ни вирей, ни троянов. Жалобы повторялись с интервалом в неделю несколько раз. Что ж там за бэкдор такой стоит, что ничем не виден? Портов открытых нет. Со всех сторон уже местные чайники советуют «переустановить начисто». Оставил до следующего раза и забыл.
Приехал через месяц по другому вопросу. Надо было набросать какой-то документ. Единственная свободная машина — та самая. Сажусь за неё, работаю. Закончил. Садится хозяйка, пододвигает клаву и мышь, откидывается на спинку стула и начинает печатать и дёргать мышь. Начинается то самое светопреставление.
Вот оно! «Комовская» мышь, провод пережат ЭЛТ-монитором. Двигаешь мышку, не нажимая кнопок, а в порт приходит мусор: события нажатий клавиш, кручения колеса и хаотических движений. Вылезают контекстные меню на всём подряд, выбираются в них произвольные пункты, открывается куча окон... Вот такой он, троянский мышь RS-232.
Уехала жена с детьми на две недели к тёще. Дома стало пусто, тихо и непривычно. Дня через три решил скачать какую-нибудь порнушку. Открываю Оперу и вспоминаю, что еще не читал IT happens. Наталкиваюсь на историю про флешку, в фоне открываю iXBT и THG, попутно заглядывая в интернет-магазин на предмет наличия. Да за такие деньги лучше USB-винт купить! Плавно перехожу к винтам, от винтов — к модемам. Вспоминаю, что хотел на «Хакере» прочитать о заражении модемов троянами. После прочтения решил приколоться над соседским DIR-320 — хоть и не модем, но ничем не хуже. В процессе ковыряния теряюсь в дебрях opennet.ru и wl500g.info. Грёбаный линукс со своими зависимостями пакетов, как же ты меня за...
О, порнуха — скачать! Как второй час ночи? Спать, спать, вставать же рано, ехать в филиал. Завтра поищу. А ещё Башорг так и не читан...
Сижу на работе, жду время «Ч», когда со спокойной совестью по предварительной договоренности с гендиром можно будет свалить в школу за доченькой. Звонит мобила. Номер не записан, но больно знакомый. Нехотя отвечаю.
— %myName%? — Угу. — УВД такого-то округа, такой-то. Когда вас ждать в гости?
Как известно, очко десантника во время прыжка способно перекусить арматурину. Я ведь не без греха: в связи с задержкой зарплаты не плачу по кредиту уже три месяца. Всё идёт по тексту: кабинет, ФИО, что сказать дежурному... Седлом чую неладное. Отвёз дочу домой. Захожу в кабинет, представляюсь. Ответ убил:
— Б#я, сколько вас ждать? У нас Ворд не работает, прокуратура с проверкой на подходе! Лечить срочно!
Как думаете, сколько нелицензионного софта и вирей я насчитал на машине, которая ещё билась в конвульсиях? 23 и 1047 единицы соответственно — и это на «зверской» сборке...
Когда всё доделал и вышел, прикуривая сигарету, я понял, как чувствуют себя досрочно освобождённые.
Зовусь я админом, хотя на деле скорее эникейщик. Занимаюсь всем: от самого продвинутого софта и его настроек до банальной перепайки всего, что можно перепаять.
«Посчастливилось» мне как-то на старой фирме получить вызов в удалённый филиал. Как обычно, дедлайн в двух днях, связь нужна срочно — кто бы сомневался. «Не работает VPN». Местный смотритель (дядечка 45 лет, по характеру божий одуванчик) более подробно описать не смог. Попал я в филиал только к девяти часам вечера. Конечно же, с собой куча софта, отвёрток, кабелей и обжимка. Но к такому я был не готов.
Нерабочий VPN на деле оказался нерабочим серваком, раздающим инет. Сервак не работал следующим образом: после включения весело шуршал всем, что было, на полную мощность и гас. Моя первая мысль: видимо, не хватает мощности блока питания, вот всё и вырубается. В принципе, догадка оказалась верной. Вот только что отключить машине с интегрированной видюхой и одним модулем памяти?
Пытливый ум узрел три винта. Методом перебора я решил найти тот, что с системой. Машина включалась, но ни с одного сервер не загрузился. Повторил процедуру, используя свою специальную сборку с флешки. На первом винте висел Win2003, на втором — следы убитой Висты (как она тут оказалась?), на третьем — ISA. Как показал допрос с пристрастием, на машину приходящие умельцы из одной конторы пытались взгромоздить свою сверхполезную для нашего филиала софтину, которая работала под Вистой и «семёрочкой» (привет отечественным писакам). Ничего не получилось, и систему по-злостному вынесли.
Я вспомнил мучения домашней машины после такого сноса в первый раз. Долго думал. По-прежнему отрабатывал вистовый загрузчик, отправляя нас к 2003-й. Решил оставить винты от двух систем: ISA нам ни к чему в такой ситуации. Щас, разбежался! Наша 2003-я благополучно вываливалась в BSoD в момент запуска служб. Искать расшифровки кодов негде, да уже и некогда: ночь. Посетила глупая мысль: а вдруг это та самая ISA с третьего винта? Но запустить с тремя дисками не могу: не включается. Ночью БП помощнее не купишь, а в конторе в силу совсем уж филиальности мощнее и не найти.
Промелькнула самая глупая мысль, наверное, за весь трудовой стаж. Во время включения машины секунд через семь-восемь после старта я «на живую» подрубил кабель питания к третьему винту. Конечно, кощунственно и глупо, однако же, когда машина не рубанулась и стала грузиться, я не поверил глазам.
С утреца пришёл — филиалом всё отправлено. Забэкапил всё, довёл систему до ума, вкатил новый блок питания. Перед сменой повторил ради интереса трюк с подключением на ходу обычного винта — столь же удачно. С тех пор фокусам с железом я удивляться перестал.
Сижу в инете, работа не доделана, сроки горят, — занят, в общем. Откуда ни возьмись вылезает Кошмарский: «Ура! Я нашёл вирус! Worm.Win32.AutoIt.tc в файле F:\rkgdqt.exe».
Полминуты втыкаю в суть и начинаю медленно сходить с ума. В ноут не всунуто ни одной флешки, в кард-ридере пластиковая заглушка, а PCMCIA-модем (к тому же выключенный) явно не относится к носителям информации. Проводник показывает только винт и CD-ROM, разделы с Кубунтой отпадают: драйвер ext3 я не ставил. В прострации вспоминаю, что есть ещё внутренний USB-разьём, к которому должна подключаться вайфай-сетевуха, но там точно пусто. Переворачиваю ноут — новых разьёмов, естественно, не появилось. Мироздание начинает ощутимо шататься и потрескивать. Исчерпав все варианты, перечитываю сообщение. Твою ж за ногу! «Проверка карантина».
Вчера я притащил на флешке с чужого компа эту заразу «на посмотреть», так как местный антивирусник его в упор не видел. Кошмарский его опознал и прибил, но засунул копию в карантин, а сегодня, после штатного обновления, решил ещё раз проверить.
Теперь, пожалуй, я буду терпимее относиться к подобным проблемам юзеров. Иногда и правда сложно переключиться на осмысление «каких-то надписей».
На одном из банкоматов пропала связь. Мы с инженером выехали на место установки. Не работал GPRS-модем. Стали разбираться, в чём причина. И дунули, и плюнули, и, как говорится, по колесу постучали. Результат прежний: не работает.
Достали сим-карту, вставили её в один из своих телефонов. Смотрим, а на номер пришла SMS. До установки в модем на симке предварительно были заблокированы все функции, кроме мобильного интернета, то бишь никаких сообщений быть просто не могло. Но это каким-то волшебным способом пробилось. Текст был таким:
Я ТЕБЯ БОЛЬШЕ НЕ ЛЮБЛЮ
Пробовали набрать номер того, кто прислал — телефон был заблокирован. SMS удалили, и банкомат опять заработал.
Месяц назад ехал в институт на пары. Вдруг мать звонит, мол, комп глючит: «Одноклассники» не работают и т. д. Сами понимаете, что случилось. Ладно, объясняю по пунктам, куда жать, что вводить, благо инет на телефоне есть. После говорю: «Перезагрузись, нажми на стрелку вниз, в списке выбери линукс, зайди в него и там сиди на здоровье. Домой приду — всё восстановлю».
Через пять секунд меня спрашивает весьма солидного вида мужчина в форме, кто я, где учусь-работаю, и просит мыло. Дал один спам-адрес, а то мало ли что. Вечером того же дня пришло приглашение на собеседование от весьма крупной госорганизации нашего города на должность помощника сисадмина.
Прошёл месяц. Сейчас я жду неплохой второй аванс по меркам студента, при этом имею четырёхчасовой рабочий день и нормально продолжаю учёбу. Большее спасибо вирусописателям! Благодаря им я получил хорошую работу вместо случайного эникея.
Знакомый обратился с проблемой: он дал другу свой рабочий ноутбук со схемами и чертежами, а у того отрезало два пальца на пилораме. Всё это было зашифровано BitLocker, и до кучи нужен был отпечаток пальца, потерянный в результате несчастного случая. Долго думали, по-разному пробовали — ноутбук не сдавался. Когда все уже махнули рукой, меня осенило предложить провести по сканеру указательным пальцем левой руки, повернув ноутбук вверх тормашками. Удивительно, но сработало.
Месяц в отпуске могут довести кого угодно. Меня довело до ночных кошмаров.
Снится мне уязвимость процессоров х86 и х64 — да такая, что позволяет выполнить произвольный код до прохождения POST, и супервирус, использующий её. Передаётся зараза через флешку и сеть. Блокирует вход в BIOS, отключает кнопку питания. Распространяется со скоростью пожара. Демонстрирует рекламу в виде ASCII-графики. Рекламодателей, кстати, в тот же день линчевали разъярённые юзвери. Управлять атомными станциями нечем — того и гляди рванёт. В общем, хаос, цивилизация отброшена в 1950-е.
Решение нашлось на третий день катастрофы: перепрошить микропрограммы на всех центральных процессорах. Лучшие умы, последние, кто помнит ассемблер и канальный уровень модели OSI, перехватили управление ботнетом рокового дня и запустили перепрошивку. А злого гения так и не нашли.
