Тишина. Компьютер не работает. Хозяева периодически бросают на него печальный взгляд и вздыхают. Мальчик Миша, десяти лет, сообщает о том, что надо заплатить деньги какому-то абоненту МТС, чтобы он включил им компьютер. Печально. А я все-таки попробую сделать это бесплатно. Нажимаю кнопку питания с мыслью, что и сам бы не отказался от вкусного ужина, но, наверное, опять все сделаю быстро, так что вряд ли успеют накормить.
Посмотрим, кто опять заблокировал Windows и просит отправить СМС на платный номер. Но до экрана приветствия операционной системы дело так и не дошло. Сразу после проверки POST (Power-On Self-Test, для интересующихся), на том же черном экране разноцветными буквами мне сообщили, что "Вы оштрафованы за просмотр детской порнографии... Отправьте СМС стоимостью 600 рублей абоненту МТС с таким-то номером, а иначе - ...", и разные угрозы про удаление всех личных данных и паролей к порно-сайтам. Пробую набрать слепым десятипальцевым методом произвольное число на клавиатуре, нажимаю Enter, а Миша уже кричит, что сейчас у него удалятся все игрушки. Но ничего не взорвалось, даже на припаркованных во дворе машинах не запищала сигнализация. Зато появился первый вопрос: операционная система уже начала работать, или вирус прописался в загрузочном секторе жесткого диска? Проверим. Перезагружаюсь, несколько раз жму F8, но снова на экране та же картинка вместо предложения выбрать безопасный режим. Значит все-таки вирус сидит в MBR (Master Boot Record, продолжаем лекцию).
Потребуется загрузочный диск. Вирус в нулевом секторе жесткого диска получает управление после того, как BIOS (Basic Input/Output System, ну я прям сегодня как википедия!) проверяет установленный порядок загрузки с обнаруженных устройств. Значит, загрузка с CD вирусом отключена быть не может, если только он не прописался в саму BIOS, что большая редкость в последнее время. Достаю диск с ERD Commander, загружаюсь с него и сразу жму кнопку, исправляющую ошибки в MBR. Диск больше не нужен. Windows запускается, абонент МТС денег не просит.
Переходим к плановому осмотру. Process Explorer вместо стандартного диспетчера задач должен показать нам всех местных жителей с паспортными данными и адресами прописки. На первый взгляд - ничего лишнего. Но под подозрение натренированного взгляда попадают два процесса svchost.exe, запущенные из-под explorer.exe со странной командной строкой: "-k netsvcs". Во-первых, svchost должен запускаться из-под services.exe, а во-вторых, в командной строке должно быть указано еще и имя самого процесса, т.е. "svchost.exe -k netsvc". Вирусописатели оказались не внимательными к деталям, забыли плащ-невидимку накинуть на голову.
Чтобы ускорить процесс изгнания бесов подумал, что можно спросить мистера Гуглинга, какими деструктивными действиями уже засветились вирусы из MBR, узнать таким образом явки, пароли, ключи реестра. Запускаю Chrome и не могу открыть ни одну страницу. Доступ к интернету есть, файл c:\windows\system32\drivers\etc\hosts - чистый, google.com из консоли пингуется успешно. Internet Explorer и Opera падают на взлете с неизвестной ошибкой. FireFox не установлен. Что ж, может быть хитрый вирус нашел исполняемые файлы браузеров и подменил их чем-нибудь, либо просто какую библиотеку бросил к ним в папочку. Устанавливаю FireFox с флешки, должен быть аки невеста в первую брачную ночь. Но и чистый Огнелис косит та же беда. Надо смотреть на процесс загрузки, зря что ли специальную http://sergeshibaev.ru/index.php/programs/26-try-to-fix-0xc0000142'>программу для этого написал! Запускаю свой Process Launch Watcher от имени Администратора, нахожу бинарник opera.exe, открываю. Браузер запустился. В логе ничего левого нет, все библиотеки нужные, никто не пристроился. Пробую еще раз загрузить Оперу самостоятельно - тот же падёж. А если от имени Администратора? А вот так - получается. Уже интересно! Но смысл не понятен.
Начинаем искать виноватых. Бегло просматриваю корень системного диска. Ничего странного, кроме двух папочек с мусорными именами в 16 случайных символов. Внутри лежат какие-то файлы с расширением .dat и набором непонятных шестнадцатеричных кодов. Убил. Но они мгновенно воскресли. Ух ты! Прям птица Феникс в реальном времени! В Process Explorer удаляю не понравившиеся мне ранее две копии svchost.exe, снова удаляю эти папочки - тишина. Но это пока так, щелкнули огнедышащего дракона по носу и не более. Надо искать, где у него незащищенное место в панцире, чтоб пустить заряд из Царь-пушки. Выкатываю на линию огня AVZ. В логе присутствует непонятный драйвер 2870456drv.sys, сидящий в C:\Windows\system32\drivers. В автозагрузке притаился файл без имени - ".exe" по адресу C:\Users\<Пользователь>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe и рядом с ним 4nIcwkcvSVc.exe. И вдобавок AVZ сильно ругался, что вышеупомянутый драйвер перехватил аж 52 функции ядра Windows, отвечающие за сетевые соединения, управление процессами, манипуляции с файлами и реестром, а также некоторые информационные. Полный список приводить не буду, незачем. Также сканер встрепенулся насчет прямого чтения sppcomapi.dll, но вероятно это является следствием работы активатора Windows, например, такого как http://sergeshibaev.ru/index.php/programs/33-not-activator'>мой :) После перезагрузки и выполнения еще одного стандартного лога драйвер переименовался в 11296972.sys. Однако уже не было сообщений о перехвате им функций.
В скрипт для AVZ вписал всех нарушителей, выполнил. Вирус в MBR оказался обычным алчным вымогателем, драйвер с постоянно меняющейся внешностью и фамилией путем перехвата системных функций операционной системы пытался обмануть пользователя, неумело маскируя имена своих процессов под svchost.exe. И браузеры теперь загружаются нормально даже без помощи Администратора. Победа накануне Дня Победы, а праздничным ужином так и не накормили.

Тишина. Компьютер не работает. Хозяева периодически бросают на него печальный взгляд и вздыхают. Мальчик Миша, десяти лет, сообщает о том, что надо заплатить деньги какому-то абоненту МТС, чтобы он включил им компьютер. Печально. А я все-таки попробую сделать это бесплатно. Нажимаю кнопку питания с мыслью, что и сам бы не отказался от вкусного ужина, но, наверное, опять все сделаю быстро, так что вряд ли успеют накормить.

Посмотрим, кто опять заблокировал Windows и просит отправить СМС на платный номер. Но до экрана приветствия операционной системы дело так и не дошло. Сразу после проверки POST (Power-On Self-Test, для интересующихся), на том же черном экране разноцветными буквами мне сообщили, что "Вы оштрафованы за просмотр детской порнографии... Отправьте СМС стоимостью 600 рублей абоненту МТС с таким-то номером, а иначе - ...", и разные угрозы про удаление всех личных данных и паролей к порно-сайтам. Пробую набрать слепым десятипальцевым методом произвольное число на клавиатуре, нажимаю Enter, а Миша уже кричит, что сейчас у него сотрутся все игрушки. Но ничего не взорвалось, даже на припаркованных во дворе машинах не запищала сигнализация. Зато появился первый вопрос: операционная система уже начала работать, или вирус прописался в загрузочном секторе жесткого диска? Проверим. Перезагружаюсь, несколько раз жму F8, но снова на экране та же картинка вместо предложения выбрать безопасный режим. Значит все-таки вирус сидит в MBR (Master Boot Record, продолжаем лекцию).

Потребуется загрузочный диск. Вирус в нулевом секторе жесткого диска получает управление после того, как BIOS (Basic Input/Output System, ну я прям сегодня как википедия!) проверяет установленный порядок загрузки с обнаруженных устройств. Значит, загрузка с CD вирусом отключена быть не может, если только он не прописался в саму BIOS, что большая редкость в последнее время. Достаю диск с ERD Commander, загружаюсь с него и сразу жму кнопку, исправляющую ошибки в MBR. Диск больше не нужен. Windows запускается, абонент МТС денег не просит.

Переходим к плановому осмотру. Process Explorer вместо стандартного диспетчера задач должен показать нам всех местных жителей с паспортными данными и адресами прописки. На первый взгляд - ничего лишнего. Но под подозрение натренированного взгляда попадают два процесса svchost.exe, запущенные из-под explorer.exe со странной командной строкой: "-k netsvcs". Во-первых, svchost.exe должен запускаться из-под services.exe, как я уже об этом писал, а во-вторых, в командной строке должно быть указано еще и имя самого процесса, т.е. "svchost.exe -k netsvc". Вирусописатели оказались не внимательными к деталям, забыли под плащ-невидимку спрятать плащ-палатку. 

Чтобы ускорить процесс изгнания бесов подумал, что можно спросить мистера Гуглинга, какими деструктивными действиями уже засветились вирусы из MBR, узнать таким образом явки, пароли, ключи реестра. Запускаю Chrome и не могу открыть ни одну страницу. Доступ к интернету есть, файл c:\windows\system32\drivers\etc\hosts - чистый, google.com из консоли пингуется успешно. Internet Explorer и Opera падают на взлете с неизвестной ошибкой. FireFox не установлен. Что ж, может быть хитрый вирус нашел исполняемые файлы браузеров и подменил их чем-нибудь, либо просто какую библиотеку бросил к ним в папочку. Устанавливаю FireFox с флешки, должен быть аки невеста в первую брачную ночь. Но и чистый Огнелис косит та же беда. Надо смотреть на процесс загрузки, зря что ли специальную программу для этого написал! Запускаю свой Process Launch Watcher от имени Администратора, нахожу бинарник opera.exe, открываю. Браузер запустился. В логе ничего левого нет, все библиотеки нужные, никто не пристроился. Пробую еще раз загрузить Оперу самостоятельно - тот же падёж. А если от имени Администратора? А вот так - получается. Уже интересно! Но смысл не ясен.

Начинаем искать виноватых. Бегло просматриваю корень системного диска. Ничего странного, кроме двух папочек с мусорными именами в 16 случайных символов. Внутри лежат какие-то файлы с расширением .dat и набором непонятных шестнадцатеричных кодов. Убил. Но они мгновенно воскресли. Ух ты! Прям птица Феникс в реальном времени! В Process Explorer удаляю не понравившиеся мне ранее две копии svchost.exe, снова удаляю эти папочки - тишина. Но это пока так, щелкнули огнедышащего дракона по носу и не более. Надо искать, где у него незащищенное место в панцире, чтоб пустить заряд из Царь-пушки. Выкатываю на линию огня AVZ. В логе присутствует непонятный драйвер 2870456drv.sys, сидящий в C:\Windows\system32\drivers. В автозагрузке притаился файл без имени - ".exe" по адресу C:\Users\<Пользователь>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe и рядом с ним некий 4nIcwkcvSVc.exe. И вдобавок AVZ сильно ругался, что вышеупомянутый драйвер перехватил аж 52 функции ядра Windows, отвечающие за сетевые соединения, управление процессами, манипуляции с файлами и реестром, а также некоторые информационные. Полный список приводить не буду, незачем. Также сканер встрепенулся насчет прямого чтения sppcomapi.dll, но вероятно это является следствием работы активатора Windows, например, такого как мой Smile. После перезагрузки и выполнения еще одного стандартного скрипта AVZ оказалось, что драйвер переименовался в 11296972.sys. Однако уже не было сообщений о перехвате им функций. 

В скрипт для AVZ вписал всех нарушителей, выполнил. Вирус в MBR оказался обычным алчным вымогателем, драйвер с постоянно меняющейся внешностью и фамилией путем перехвата системных функций операционной системы пытался обмануть пользователя, неумело маскируя имена своих процессов под svchost.exe. И браузеры теперь загружаются нормально даже без помощи Администратора. Победа накануне Дня Победы, а праздничным ужином так и не накормили.