К Новому году я решил порадовать себя и компьютер новой веб-камерой. Купил, подключил, установил драйвера, ПО — всё заработало. Пришла весна. Вчера вечером, пока я тихо-мирно правил одну жёлтую программу, компьютер вдруг заорал, что обнаружено новое оборудование, причём нашел он именно мою камеру и потребовал диск с дровами. Получив требуемое, виндюк поскрипел и сказал, что установка невозможна из-за ошибки установки. Меня заинтересовало странное поведение машины. Исследования показали: пока я трудился, в системе шла беспощадная теневая война не на жизнь, а на смерть.
На драйвер камеры было совершено нападение «злобным» вирусом (выяснено простым бинарным сравнением). Но так как вирус был написан коряво, встать по-тихому у него не получилось: хулиганство заметил докторвебовский Guard и решил заразу выкусить. Guard был тоже написан коряво: выкусить заразу у него не получилось, и драйвер сдох, что и было замечено системой. ХР узрела непорядок и решила исправить ситуацию переустановкой, посмотрела .inf и потребовала свежую копию драйвера. Но так как и ХР написана коряво, то вычистить перед установкой оставшиеся драйверные хвосты у неё не получилось, и камеру вышибло без права дальнейшей установки.
Вот так и живём: кривое с кривым из-за кривого воюет, а мы реестр ручками чистим.
Увлекает меня ковыряние кода чужих вирусов. Сегодня пришел в аську очередной спам с предложением посмотреть «мои голые фотки». В предвкушении веселья лезу по ссылке и радостно скачиваю файл .jar. Антивирус пропускает. Распаковываю и с грустью обнаруживаю, что хотя троянец и отправляет SMS, но номера хранит в зашифрованном виде в текстовом файле. Надо же их узнать!
Скачиваю декомпилятор Java, обнаруживаю совершенно дикую функцию, которая и должна бред из файлика преобразовать в список коротких номеров. Проблема только одна — Java я совсем не знаю. Ничего, запускаю свой родной Delphi и медленно, по одной строчке, справляясь у гугля, интерпретирую код обработчика строки. Преобразовав примерно пять из двадцати строчек, компилирую свой код для проверки. И тут компьютер подвисает, антивирус издает вопль раненого эвристика, окна Delphi становятся белыми. «Да ты задолбал своим эвристиком! Я же этот файл только что сам написал, в нём чистый, хороший вирусный...» Тут мои мысли прервались, а уважение к антивирусу повысилось до максимума.
Случилось это, когда я подрабатывал в сервисной конторе в нашем городе. Когда я пришёл, меня отрядили на оптимизацию внутренней сети предприятия, на котором я работал. Так вот, сижу я, пытаюсь понять своих предшественников, разбираюсь потихоньку. Коллегу же выдернули по заявке в культпросветительскую организацию, на что я не обратил внимания поначалу. День шёл к обеду, а боец с фронта так и не возвращался. Иду я курить, получаю звонок на мобилу. Так и есть: коллега звонит, спрашивает, почему может не работать DHCP. Говорю, что причин может быть много, по телефону лучше такое не решать — пусть возвращается, а после обеда мы с ним сходим к заказчику вместе.
После обеда сажусь за тот самый комп, наблюдаю 2003-й сервер от дядюшки Билли с поднятым доменом, DHCP, DNS, принт-сервером, WINS, раздачей интернетов. Всё, как в лучших домах Парижа, вот только эта роскошь обслуживает семь компьютеров. Спрашиваю, а зачем, собственно, такие сады разводить? Что должно располагаться в сети? Ответ убил: по сети они хотели получать только возможность печати и... правильно, интернет со всеми его «мейлами-ру», «контактами», «одноклассниками» и аськами.
Ну, думаю, бог с ним. Смотрю детально на горе-сервер: DHCP запущен, но клиентам не даёт даже адрес. Размышляю, лениво клацая по процессам, и понимаю, что чего-то не хватает виндовому серверу. Ага, вот оно что: антивируса-то и нет! Стоп, думаю, а как же защита от живности? Решаю проверить на скорую руку сервер, отрубаю его от свитча, втыкаю свою флешку, запускаю AVZ, жду. Смотрю результат обычного сканирования: среди прочей живности нашёлся «авторан», услужливо загнанный на мою флешку.
Ну, думаю, приплыли. Встаю, спрашиваю, а кто же настраивал всю эту прелесть? Ответ меня смутил и заставил внутренне устыдиться: в эту контору пришёл мальчик-студент, который чуть-чуть поработал в техподдержке дочерней конторы крупнейшего мирового нефтяного гиганта с британо-голландскими корнями.
Вежливо сообщаю руководителю, что для всех будет проще, если контора наймёт нашего специалиста, который в течение двух дней настроит им всё и, учитывая, что предприятие бюджетное, сможет обойтись бесплатным ПО. Выйдя за дверь, я уже невежливо позвонил супервайзеру техподдержки этого самого дочернего подразделения нефтяного гиганта и по-свойски (на русско-матерном) объяснил, что своих людей им надо срочно отправить на курсы по сообразительности. Зачем строить колосс, когда ноги один фиг глиняные, да и нужды-то в колоссе нет?
Написал программу по ограничению возможностей пользователей. Притащил в офис на бета-тестирование самому изобретательному юзеру и пообещал пиво, если тот сможет обойти защиту. Через час звонит — говорит, что обошёл. Оказалось, NOD32 посчитал мою программу неизвестным вирусом. Ушлый юзер отправил файл на карантин и в лабораторию ESET. Пиво юзеру я выдал, а файл добавил в исключения.
Через месяц приезжаю с новой версией, запускаю — через пять секунд NOD32 отправляет файл в карантин, дав ему погоняло с приставкой «Win32».
После одного из незащищённых половых контактов с глобальной сетью знакомый паренёк стал счастливым обладателем одного из многочисленных порнобаннеров, требующих отправить SMS на указанный номер, чтобы получить заветный код, а пока посмотреть в деталях, «какой у папы большой». Деньги отправлять никто не собирался. Человек пару дней ходил в печали: сам он в компьютерах был слабоват, а потому не был знаком с разнообразными методиками экзорцизма.
Выход нашёлся крайне занятный. Товарищ посоветовал ему ввести в строке для пароля русскими буквами в английском регистре самую популярную фразу всея Руси: «Иди на х@й». Любопытно, но баннера больше никто не видел. Видимо, отправился-таки в путешествие.
Прихожу к клиенту, делаю свою работу. Когда уже всё готово, меня просят взглянуть и дать рекомендации по второму компу. Соглашаюсь — а чего бы ещё немного не заработать, может, дело пустячное. Показывают на системник: «Сгорел, видимо». Интересуюсь, с чего такая уверенность, — отвечают, мол, доча вот тут вирусы лечить пыталась. Доче лет 14–15.
Начинаю прокручивать в голове варианты. Аккуратно, не спеша, ставлю системник на стол и рукой нащупываю инородное вещество сзади, чуть ниже БП. Поворачиваю посмотреть и слышу продолжение истории про дочу и вирусы.
В общем, антивирус на компе нашёл заразу, а доча провела логические изыскания следующего толка: «Вирус — болезнь — болезнь лечат лекарствами — компьютер надо лечить». Инородное вещество оказалось высохшим «Терафлю», вылитым в работающий БП.
Вызывают в один из офисов, которые я админю: полетело по очереди три компа. Ну, думаю, ясно, кто-то принёс из дома флешку и показал всем новый фильмец. Качаю свежий Dr.Web Live CD, записываю, еду.
На месте оказывается, что один вообще не загружается, другой работает, но «вылетает минут через десять», а третий я уже смотрел и постановил везти в сервиску — уж больно характерный писк он издавал. Неисправный БП, кондёры не вспухли — пусть сами чинят или меняют, без меня.
В общем, мысли об эпидемии разом отпали. Смотрю самого тяжёлого — реакция на включение есть, диоды горят. Сенсорные кнопки включения и перезагрузки весело мигают, заставляют комп жужжать, но на экране всё тот же Малевич. Втыкаю заведомо рабочий монитор с другим шнуром — ноль. На корпусе сервисные пломбы, причем свежие. Думаю, ребятам повезло.
Начало настораживать, что ИБП включён только под столом у уволенного сотрудника, а в остальных местах они заботливо стоят в сторонке. Действительно, зачем все усложнять! Загружаю оставшийся компьютер, который слетает через десять минут, чтобы отловить глюк. Читал Википедию, проходил ACID-тест — ничего не происходит. Перегружаюсь, скармливаю ему «диск жизни» доктора Веба.
Настраиваю приоритеты, действия, логи. Старт. Ухожу наводить порядок и ставить всё развороченное на место. Возвращаюсь — что за беда, уснул! На клавиатуру и мышь не реагирует, но мигает индикаторами на корпусе. Вспоминаю, что мой относительно свежий ноут с той же Убунтой или Дебианом не выходит из спячки без правильных видеодров.
Как сделать, чтобы комп не спал? Правильно, читавший IT happens тут же вспомнит историю про мышкину письку. Но морочиться с вентиляторами мне не хотелось, а блок для удобства не открыть — пломбы...
Решение пришло внезапно: открываю терминал, запускаю cat /dev/urandom. Окошко тут же заполняют резво бегущие кракозябры. Часом больше, часом меньше — всё равно ему ночь крутиться. Приклеиваю провод мышки к верхней крышке большого CRT-монитора, кладу мышку на окошечко терминала — красота! Курсором овладели такие неистовые корчи, что даже жалко беднягу стало.
Потянулся за мобильным, чтобы сфоткать. Не успел я запустить проверку, как система благополучно рухнула, как и в прошлый раз, мигая индикаторами, но не реагируя ни на устройства ввода, ни на Reset.
Ну, думаю, отправляйся к праотцам, то есть к саппортам. А я получу малость за то, что морочился тут, посоветую включить оставшиеся машины в ИБП и — домой, домой! Не железячник я, да и вообще биолог по образованию.
Не понимаю я сисадминов в принт-центрах! Ежедневно у них распечатываются сотни самых разнообразных документов от банальных копий до цветных визиток и чертежей формата А1. Все флешки попадают в один комп, конфигурацию которого и так нельзя назвать подходящей. На бедном системнике, еле-еле ворочая библиотеками и реестром, который напоминает городскую свалку, заикаясь и кашляя, работает старая добрая Windows XP, в защите которой стоит доблестный Касперский. Кого волнует, что авторан не отключён, а бедный Каспер говорит, что не ел обновлений уже 380 дней? Кого волнует, что в скромном гигабайте памяти висят консоли управления всеми принтерами и МФУ в этом заведении (я насчитал два струйника, три лазерных, два плоттера и три страшных МФУ размером с письменный стол), а также Microsoft Office, Photoshop и прочие радости типографской деятельности?
И что получается: прихожу что-нибудь распечатать, даю флешку, девушка втыкает ее в USB-хаб. В мирном царстве вирусов раздаётся сигнал: «Тревога — обнаружено устройство!» — и весь этот террариум табунами летит на флешку. Затем девушка открывает «Мой компьютер» и запускает Касперского. Доходяга пыхтит-скрипит; то ли эвристика срабатывает, то ли какой-то вирус древний таки попадается, и она с озабоченным видом говорит: «А у вас-то вирусы на флешке!» Делаю грустное лицо и киваю — не буду же её расстраивать, что у меня дома Убунту.
Воткнув флешку в свой домашний комп, я обнаружил восемь скрытых экзешников в корне, авторан, пару VBS, действие которых я так и не понял, и три папки с батником и экзешником внутри каждой — итого чёртова дюжина вирусов!
На днях звонит мне один хороший знакомый и просит избавить его от порнобаннера Winlock — не радуют его, мол, интим-фотографии на рабочем столе, работать невозможно. Не вопрос — приезжаю, сразу загружаю безопасный режим и включаю CureIt.
— И что же, ты даже посмотреть на женские гениталии не хочешь? — удивляется знакомый. — Да чего я там не видел? — А я хотел тебе свои показать.
