Даже если окно вирусни занимает весь экран, запустить, скажем, Ворд или Блокнот особого труда не представляет. Достаточно вслепую нажать Ctrl+Esc → вверх → вверх → Enter, напечатать «winword» и нажать Enter ещё раз. В невидимом новом документе печатаем любой символ и жмём кнопку выключения компа. Винда начинает убивать процессы. Что же мы видим? Вирусный процесс мёртв, а умный Word спрашивает: «Сохранить, не сохранять, отменить?» Выбрав отмену, мы останавливаем процесс выключения и получаем разблокированный комп. Ну, а далее доступ к реестру, автозапуску, CureIt, AVZ и HijackThis при наличии pryamie_ruki.sys и umnaya_golova.dll делают своё дело.
Рассматриваю припёртый на флешке из киоска, где печатал реферат, троянчик. В голову мысли странные приходят. Винда всё-таки лучше человека: если заболеет неизлечимо, всегда можно пристрелить и воскресить — и никакие законы, ни юридические, ни природные, не смогут этого запретить.
На новогодние праздники ездил к родителям за пару тысяч километров. В качестве подарка для них выбрал бюджетный компьютер, чтобы могли мои любимые и в интернет сходить, и по скайпу позвонить. Бережно и нежно установил и настроил софт, показал и рассказал, что, куда и как нажимать. Временно поставил бесплатный антивирус, надеясь, что на первое время пойдёт. Особенно грозно провёл лекцию о баннерах, порносайтах и прочей дряни, куда нажимать смертельно опасно. На всякий случай решил установить TeamViewer — мало ли, помочь придётся в трудную минуту.
Вернулся обратно. Спустя две недели раздался тревожный звонок: папа ворчит на компьютер, говорит, что тот завис и вообще утверждет, что за посещение неприличных сайтов нужно послать SMS за 400 рублей. Конечно, никто ничего не трогал и оно само. Незадача: я довольно далеко, приеду минимум через год. Прозвонил всех знакомых там — никто не может прийти раньше чем через три дня. Сказал родителям ждать, уже собрался спать — и вспомнил. Позвонил, попросил включить компьютер.
Запускаю TeamViewer, пытаюсь подключиться… Бинго! На экране злополучный вымогатель нагло требует денег. Пытаюсь послать Ctrl+Alt+Delete — ничего не происходит. Win+R — тоже ничего. Вызов залипания клавиш — опять провал. Ага… Жму «Передача файлов» в TeamViewer — и мне выдаётся возможность положить файл в любой каталог удалённого компьютера. Нахожу подозрительную гадость а-ля «xxx-video-43535.avi.exe» в папке временных загрузок Оперы. Удалить не получается, переименовать — без проблем.
Перезагружаю удалённую машину, переподключаюсь. На экране красуется: «Не удаётся найти файл …\xxx-video-43535.avi.exe». Ага, попался! Ctrl+Alt+Delete — и вместо диспетчера задач выходит «Калькулятор Плюс». Ха, большое спасибо! Помощь → Справка. Выползает CHM-файл. Параметры → Параметры интернета. Выползают настройки Internet Explorer. Конфеденциальность → Импорт параметров конфеденциальности… Здравствуй, Проводник!
Попытка запустить taskmgr.exe не удалась: администратор, дескать, запретил. Что ж, запускаю regedit и подметаю хвосты злосчастного баннера. Повезло, что вымогатель попался дрищёвый.
Просмотр истории в Опере подтвердил подозрения: «оно само» тут и не пахнет. От греха подальше настроил семейный фильтр в поиске Яндекса и установил K9 Web Protection — теперь на страничку с «клубничкой» попасть проблематично. Установил честно унесённый с работы Касперский и пожелал удачи своей родне в освоении интернета.
Десять лет назад, когда я учился в восьмом классе, мы только-только начали изучать QuickBASIC. Мне захотелось защитить от посторонних свой компьютер c играми и Windows 95.
Я написал крошечную программу game.exe. При запуске она переносилась из текущего каталога в корень диска C: и добавлялась в autoexec.bat. После перезагрузки программа просила ввести пароль. Можно было, конечно, и не вводить: программа выключалась по Ctrl+Break и не работала в безопасном режиме.
«Опасный файл» дальше моего компьютера не пошёл. Больше ничего подобного я никогда не писал — наигрался. Сейчас, когда я вижу у клиента очередной вирус, который просит отправить SMS, я понимаю, что принципы не меняются: я это проходил в восьмом классе.
Будучи юниксоидом и админом с десятилетним стажем, я никогда не использовал антивирусы и не рекомендовал их пользователям. В качестве аргумента приводил и привожу наглядную аллегорию.
Представьте, что компьютер с Windows и вашими данными — это некий реальный объект в виде здания. Вместо трёхметрового забора с кольями и электрической защитой вы имеете хилый штакетник с дырками и завалившимися столбиками. И что вы делаете, установив антивирус? Нанимаете охранника, который ходит по периметру штакетника и охраняет здание. Его могут стукнуть сзади по кумполу, он может попросту не успеть добежать или не увидеть атаки. К тому же охранник жрёт за двоих: деньги за лицензию, оперативку и процессор.
Установленный антивирус внушает ложное чувство безопасности. Особо популярный продукт лаборатории, любящей делать громкие необоснованные заявления, вообще злоупотребляет положением охранника и позволяет себе копаться в грязных вещах хозяина и наводить порядок внутри здания. В частности, недавно был схвачен за руку, некорректно конвертируя кодировку пришедшего HTML-письма. Стыд и срам.
Новые версии винды не отстают в маразме и придумывают смешные системы вопросов-ответов над дырами в заборе, которые призваны осложнять жизнь разве что хозяину.
Вместо этого я предлагал и предлагаю всем быть рачительным хозяином на своей территории: хотя бы просто латать дыры в штакетнике и выравнивать столбики.
Вирусы, как и примерные злоумышленники, недалеки в развитии и ходят по небольшому количеству протоптанных тропок через малое количество общеизвестных дыр в заборе. Примерно раз в пару лет осваивают одну новую: так сказать, гордо эволюционируют.
Лезут через макросы? Запретите запись в папку с normal.dot на уровне NTFS.
Пихаются в автозагрузку при входе в систему? Настройте в реестре эти ключи только для чтения. С ассоциацией EXE-файлов та же история.
Бывают двуглавые змии, которые запускают сразу два процесса: каждый следит за жизнеспособностью другого. Морозим через нормальный диспетчер задач обе головы и отрубаем поодиночке.
Срут на сетевые шары? Отключаем шары у обычного пользователя, удаляя сервис Server в реестре. Устраиваем файлопомойку на Юниксе, в Самбе рубим возможность записи экзешников в шару. Заодно управляемость повышаем, резервное копирование упрощаем и утечки информации блокируем.
Автозапускаются с флешек? Отключаем автозапуск со съёмных носителей.
Невозможно прекратить процесс вируса? Переименовываем экзешник и перезапускаем систему — готов, выносите ногами вперед.
В результате выравнивания штакетника вирусные атаки обходили стороной мою сеть на 70 компьютеров на протяжении семи лет. У обращавшихся знакомых все вирусы я удалял сам, вручную, без всяких антивирусов.
На днях знакомый притащил ноутбук с виндой, установленным популярным антивирусом и свежими базами к нему, в которой почти все приложения зависали в неопределённые моменты. Первый диагноз: система полумёртвая, на переустановку. Присмотревшись внимательнее, заметил, что половина сервисов не поднята, а один из них в состоянии Starting. Идём к EXE-файлу, смотрим свойства и описание, понимаем, что вирус, перегружаемся в безопасный режим, отключаем автозапуск сервиса, открываем экзешник в блокноте, кидаем пару символов в тело файла. Вуаля! Подпорченные файлы с вирусами удалять не стоит: большинство «инсталляторов» вирусов, увидев родной файл на нужном месте, тупят и успокаиваются.
Работаю в главном городском провайдере выездным саппортом. Как правило, вся поддержка сводится к проверке IP-адреса и напоминании о том, что на небезлимитных тарифах надо бы включать авторизатор — остальное все наши тысячи пользователей уже почти зазубрили, и проблем почти не возникает (тьфу-тьфу). Поэтому в свободное время я бегаю по вызовам, не связанным с сетью, но приносящим некоторый доход.
Довелось побывать дома у одной крайне невинной на вид особы лет 15–16, живущей с матерью-матроной. Причиной визита стал Винлогон, который заменял вторым телом Userinit. Обычно вопросов типа «где, когда и как поймали» я не задаю, но в данном случае любопытство всё же разыгралось. Когда Винлогон был снят, я решил почистить логи загрузок браузеров, реестр и прочую мелочь. То, что в папке Downloads нашлось ещё несколько «готовых к употреблению» разновидностей аналогичных заразок, меня удивило. Последние 20 сайтов в истории Огнелиса были как один с горячим видео. Всё доделал — осталось взять деньги и попрощаться. Напоследок мамаша спросила:
— А вы не знаете, где она могла такое поймать? — Сложно сказать. (Жалко же девочку!) Рекламный сайт какой-нибудь, всплывающее окошко. Вариантов много. — Не-е-ет. Она у меня по… (краснея) по порнухе лазала, я уверена! — Я сказать точно ничего не могу.
Мать притащила девочку из комнаты.
— Сознавайся! Лазала по порнухе?
Красная как помидор девочка с видом несправедливо обиженной молвила:
— Ну ма-а-а… У нас с Максиком завтра первое свидание, должна же я знать, что и как!
Я согнулся пополам от смеха, даже не взяв денег, кратко попрощался и выполз в подъезд.
Чистил систему. В карантине Нода накопилось более двух гигов заразы. Решил почистить. Открыл Нод, карантин, выделил всех тварюшек — и нажал «Восстановить и исключить из сканирования» вместо «Удалить».
Остатки винды догрызают червячки. Я хочу в отпуск.
Работал в компьютерном сервис-центре. Друг моего начальника купил себе недешёвый ноутбук и пришёл к нам за «нужными программками». Естественно, шеф отправил мужика ко мне.
Хозяин ноута — типичный «православнутый»: масса историй про чудесные дела, наставления, к какому батюшке лучше идти и где в Подмосковье можно купить кусок земли, который во время Армагеддона поднимется в воздух, спасая всех, построивших там дома. В качестве картинки рабочего стола — какая-то крутая икона. Спрашиваю, зачем такая обоина. Говорит, защищает от вирусов и сбоев.
Через пару недель приносит снова свой ноут: сбои и зависания, вирусные стаи и косяки. Говорю, мол, обоина-то не помогла. Получаю ответ: «Бес попутал, по порносайтам полазил и нахватался».
Вера — верой, а делами подтверждать её надо. Хотя бы на блудниц не смотреть.
Меня довольно часто просят помочь с железом друзья, знакомые, знакомые друзей, а иногда и вообще незнакомые люди. Обычно стараюсь отказаться — не люблю я это дело, — но не всегда получается.
Не удалось и в этот раз. Говорят, компьютер тормозит, глючит, в целом ведёт себя неадекватно. Понятное дело: нахватались зверей заморских, да и система мало того что сборка какая-то, так ещё и криво настроена оказалась. Начал чистить. Пока пахал антивирус, я полез по любимым местам отдыха вирусов, чтобы вручную прихлопнуть нескольких гадов. В корне системного диска увидел директории «Саша кино», «Саша игры», «Саша музыка», а в конце этого списка — документ «Саша компьютеры.doc». Очень уж он меня заинтриговал, и не посмотреть внутрь я просто не мог.
Александр — компьютерная помощь. Качественный ремонт и чистка вашего компьютера. Тел.: ##-##-##.
У нас эти объявления чуть ли не на каждом столбе висят.
