В начале 2000-х в некоем провинциальном городке добралась всеобщая модемно-дайлапная интернетизация до местного католического прихода под управлением братьев-францисканцев. И хотя местное духовенство было компьютерной грамотности более-менее обучено, бесовская техника все же требовала какого-никакого ухода. Оный уход, включающий инсталляции-переинсталляции, чистку от хлама на винчестерах и пыли и прочую мелочёвку, по старой дружбе я и осуществлял.
Однажды, разбираясь с очередной жалобой (тормозит, виснет и т. д.), обнаружил и кое-как прибил вручную довольно редкий вирус, именуемый «Ромео и Джульетта», который купленным с лотка пиратским Каспером не ловился. Наличие такого вируса в мужском монастыре уже само по себе породило массу шуток. Но за первым заражением последовало второе, третье — и наконец-то обнаружился источник: письма от местного епископа. В общем, настоятель, мужик с юмором, отправил церковному начальству письмо с изложением проблемы, написав примерно следующее:
— Предохраняться надо, отче: Джульетта вас заразила, а вы заразили всю епархию!
Уж не знаю, о чём думал епископ, открывая это письмо, но писем с вирусами больше не было.
Захлестнула меня ностальгия по самому первому компьютеру — «Вектор-06Ц». Самого компа уже нет в живых, поэтому решил поискать эмулятор да несколько программ к нему. Чудо советской мысли оказалось вполне живым — есть и эмуляторы, и сборник всех мыслимых программ, и даже живой форум. Вдоволь побаловавшись любимыми в детстве играми, потянулся на поиски неизведанного — каталог программ оказался весьма внушительным. Наткнулся на описание программы «Вирус БЕ-БЕ»:
Вредоносная утилита «Вирус БЕ-БЕ» после запуска уничтожает все файлы на диске. В файле содержатся ругательства в адрес некоторых персонажей, неприличные призывы и оскорбление сэра Синклера (или его знаменитого детища).
Инструкция по применению: Переименовать файл bebe.vir в bebe.com, разместить на образе диска с единственными копиями самых важных программ и запустить.
Требуемая ОС: МикроДОС
Итак, для работы «вируса» вам требовался дисковод (неслыханная роскошь в моё время), МикроДОС (обычно программы просто грузились с кассеты) и ручной запуск вируса. Чёрт, я завидую тем, у кого в далёком 1992 году запускался этот вирус!
Коллеге, что работает в российском представительстве мирового лидера по разработке ПО, понадобилось по долгу службы решить какой-то вопрос с одним товарищем исключительно по мылу. Товарищ писал с различных почтовых ящиков в адрес коллеги, но письмо упорно не доходило.
Продолжалось это достаточно долго, пока коллега не выяснил, что фамилия товарища не иначе как Троянов. Разумеется, в каждом адресе этого товарища фамилия фигурировала в полной красе. Интересно, удалось ли им всё-таки списаться?
Едем мы компанией с «Пустых холмов» в электричке. Вагон битком. Мы сидим на лавочках. Напротив меня мой друг в фирменной зелёной майке с логотипом паукообразного антивируса (в этой компании товарищ и работает) флегматично смотрит в окно.
По проходу протискивается панковатого вида паренёк в красной майке с большой белой надписью: «ВИРУС». Раз протиснулся, через некоторое время обратно, потом ещё пару раз. Я уже с улыбкой до ушей смотрю то на друга, то на паренька. Друг замечает уныло:
— Чё лыбишься? — А ты чё вирусы не ловишь? — ухмыляюсь, показывая на паренька. — А оно и в жизни так…
Многие ищут в периодической системе Менделеева металлы покрепче, чтобы описать мои нервы.
Вышел на связь человек, пострадавший от вируса-блокировщика. По описанию это был MBR.Lock. Я предложил два варианта лечения: любой лайв-сиди + Доктор Веб или лайв-сиди «Антивинлокер». Начался диалог в 9:25, закончился (с двумя перерывами) — в 15:06.
Первый вариант отпал сразу: лайв-сиди под рукой не было, юзер не знал, что это такое, а если уж нужно записывать, пусть лучше это будет менее сложный метод.
— Вот ссылка, там есть кнопка «Скачать». — Окей, диск на 700 МБ пойдёт? — Да, вам понадобится программа «Неро» или аналог для записи на диск. Нужно не просто скопировать файл на диск, а именно записать образ.
* * *
— Какой указать путь, на болванку? Какое указать имя файла? — Нужно выбрать файл образа, который вы скачали. — Я его ещё не качал. — Вот ещё раз ссылка. Там есть кнопка «Скачать». — Нажать?
* * *
— Выберите в меню ISO — Burn ISO, выберите путь и запишите диск. — А у меня диск запустится? — Доктор, вы мне выписали аспирин, но я его не буду принимать. Он же мне не поможет? Или поможет?
* * *
— Открылось окно CD, там четыре файла. — Где открылось? — Ну, на компьютере, где я писал на диск. — Ага, то есть уже записалось? Если да — извлеките диск и вставьте в заражённый ноутбук. — А как узнать, записалось или нет? Наверно, ещё не записалось… Надо нажимать на диск с зелёной стрелочкой и надписью «Burn»?
* * *
— Окей, вставляйте в ноутбук, входите в BIOS, выбирайте DVD-привод первым устройством, с которого будет загрузка. — Как это сделать? — Нажимайте F2 при старте до тех пор, пока не увидите окно BIOS.
* * *
— У меня тут в Boot Menu ничего такого нет. — Должно быть что-то, связанное с CD или DVD. — Да, есть IDE CD. Оно? — Да, ставьте первым устройством. — Хорошо, но у меня сидиром не работает. Точнее, работает, но диски не читает.
Тут недавно была история: мол, не нужны герои-админы. Да, обычно заражение сети — недоработка админа. Но есть это самое великое «но»: вирус настолько новый, что его нет ещё в базах ни у «Каспера», ни у Доктора Веба. Вот тогда и приходится проявлять героизм: стопоришь сеть и руками ловишь гада ползучего. Особо приятно становится, когда его идентифицируешь, заархивируешь, снабдишь описанием, где и что нашёл, отошлёшь в лабораторию Касперского, потом посмотришь — а ты первый, даже в ловушки лаборатории это гуано не попадало до того момента.
Однажды я успел первым. Второй раз — через час после попадания вируса в ловушку антивирусной лаборатории. Вот провозишься так, прополешь сеть — хоть одно после этого радует: не ты дурак, не по недосмотру словил. Даже гордость некая возникает: вон какого гада смог выдрать руками! Так что такие подвиги не всегда бессмысленны — они позволяют остаться в форме, не потерять бдительность.
Читаю я местные истории от сисадминов и не перестаю удивляться. Флешки-то у них — основной источник заразы! Казалось бы, что уж проще — отключить автозапуск, включить UAC, запретив выполнение всего, что не было установлено администратором (для старых приложений можно создать отдельный белый список). Старенькая XP? Можно создать белый список разрешённых приложений на контроллере домена. Я уже не говорю про антивирусы. Но нет — лучше «специалист» будет ныть о том, какие все юзеры тупые и как он героически остаётся на полночи чистить сеть от кучи вирусов.
Ребята, любой рабочий героизм — следствие вашей халатности и страха перед начальством. Будьте профессионалами, уважайте себя.
Приходит гиперсрочный заказ на удаление баннера-вымогателя в одной компании. А я в это время на учёбе. Заказчик брызжет слюной и сулит золотые горы — срывается какой-то здоровый заказ. Отпросившись с пары, несусь на всех парах на место преступления.
Картина стандартная: практически сразу после логина баннер на весь экран. Сайты антивирусов не помогают. Недолго думая, вызываю диспетчер сразу после логина. У меня есть три секунды. Замечаю в процессах нездоровую экзешку — и баннер закрывает экран. Разлогиниваюсь, захожу под админом (эта учётка, на счастье, не заражена) — в диспетчере нет ничего подозрительного.
Начинаю думать, как отловить негодяя. Имя процесса — длинная строчка рандомных цифр и букв, за пару секунд запомнить нереально. Print Screen не поможет. Пытаюсь заснять процессы айфоном. Слишком долго. И тут вспоминаю, что сегодня прихватил с собой фотик.
Перелогин — диспетчер — процессы — фото экрана — вход за админа — поиск имени процесса с фотки. Файл удаляется, чистится реестр — система освобождена от захватчика! Без смекалки в нашем деле никуда.
Работаю сисадмином в интернет-кафе. Как-то был день, когда клиенты умудрились поймать уйму порнобаннеров на разных компьютерах. В общем, целый день я их удалял и параллельно ставил политику безопасности, чтобы история не повторялась.
В этот же день мне названивал начальник и просил закинуть денег ему на телефон — то 1000 рублей, то 500 (у него четыре мобильника). Кассирша в банке первый раз приняла платёж на 1000 рублей нормально. Когда я пришёл во второй раз и закидывал деньги уже на другой номер, она посмотрела на меня с подозрением. Когда я через пару часов появился в третий раз, застал местного сисадмина, настраивающего платёжный терминал.
— Ты чего такие суммы на разные номера закидываешь? — спросила кассирша.
— Да понимаете, я системным администратором работаю в интернет-кафе тут неподалёку. У нас клиенты порнобаннеров нахватались, и они требуют денег на телефон закинуть. Вот и приходится тратиться — компы-то рабочие нужны…
