|
|
Пишет denmes (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} denmes)@ 2009-05-05 18:07:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Мля! или Как я лечил вирусы.
Вчера часа в три дня меня на работе вдруг вырубили из интернета. Сначала я подумал, что у сети глюки, но час спустя решил проверить единственный включённый комп в комнате, файлсерверок. Там тоже нет интернета. Тэкс, в таскменеджере левых процессов нет, но netstat -b на обоих компах показывает ленивое такое сканирование случайных айпишников, исходящее из процесса svchost.exe. В некотором замешательстве нахожу нужный svchost в таскменеджере по PID и убиваю. Однако. Тэкс, включил другой комп - интернет есть. Иду на страничку, где можно узнать, вырублен ли твой компьютер из сети Универа за что-либо. Тэкс, 134.93.ххх.ххх ххххх.Chemie.Uni-Mainz.DE ist gesperrt seit 04-05-2009 15:04 wegen 'portscans port 445'. Ах же ж гады. Злобно ругаясь (...ёппперный театр, ну хотел же поставить антивирус уже...), с трудом нахожу актуальную версию бесплатного антивируса от AVG и списываю её и ейные апдейты на флешку, с каковой устанавливаю это всё хозяйство на свой комп и на сервер. Запускаю сканирование c:/WINDOWS/ Через какое-то время антивирус находит dll-ку со случайно генерированным именем в windows/system32 и выдирает её оттуда. Типа, троян Agent.ASKJ. Что интересно, не удаётся сразу выгуглить, шо это ваще за вирус - каждый писатель антивирусов называет их по-своему. Нашёл походу замечательную страничку, где файл можно просканить разными антивирусами (соответственно, узнав все ихние наименования для вируса) и сканирую файлик там - вот, собственно, отчёт. Ага, разновидность Conficker, о котором так много говорилибольшевики в новостях. Эта гадина кроме своей гнусной активности ещё что-то там типа патчит в системе, так что перестают резольвиться/открываться антивирусные сайты и WindowsUpdate. К счастью, AVG это дело возрождает назад.
Как оно грамотно поставилось однако, вообще ничего в системе в первый момент не заметно... откуда же эта скотина ко мне пролезла? А должен сказать, что у меня на рабочем компе не выключен autorun и перед обедом ко мне заходил коллега с флешкой. А этот коллега как раз меня с утра спрашивал по поводу того, что у него на компе антивирус изловил какого-то вируса. Тэкс... Звоню и прошу посмотреть, нету ли у него на стиках файла autorun.inf. Есть! "Это у тебя вирус. Не вытирай, переименуй в .txt и зайди ко мне, я посмотрю что это там". Смотрю... вау, а у меня комп оказывается вдруг не показывает скрытых файлов: в FAR я вижу этот autorun.inf, а в виндовом эксплорере нет. И включить показ не могу!* Ай-да сукин сын, вирус этот! Файл вызывает подозрение уже тем, что он не текстовый, а бинарный, размером 50+ кБ. Излишне говорить, что там внутри тоже вирус. Более того, на стике создаётся папка, маскирующаяся под корзину, и туда ложится файл чтототам.vmx, тоже компонента вируса. Вот как... но как вирус при этом попал на сервер, в который никто стиков не тыкает?
На всякий случай включаю посмотреть ещё другой подозрительный комп с устаревшим антивирусом. Вроде вируса там нет, но давай-ка обновим там антивирус и винду. Вставляю туда свою флешку с антивирусом, устанавливаю апдейты, перезагружаюсь, хопа, windowsupdate.com недоступен... netstat -b - идёт сканирование... йеппппп-понский бог, и тут теперь вирус! Флешка? да, опять скрытый autorun.inf. Блиииин, я лопухнулся, ничего не скажешь. Хорошо что вчера вечером не успел флешку никуда дома воткнуть...
Проверяем флешки, проверяем все компы на вирусы.Нашёл хороший хак, как отключить автозапуск дисков, и отключил его нахрен везде на компах. Отключаю автозапуск при помощи TweakUI. Но пасаран!!!
Хорошо день проходит, творчески...
-------------------------
*Вот эта тулза умеет проделывать упомянутые и прочие важные антивирусные манипуляции автоматом.
Вчера часа в три дня меня на работе вдруг вырубили из интернета. Сначала я подумал, что у сети глюки, но час спустя решил проверить единственный включённый комп в комнате, файлсерверок. Там тоже нет интернета. Тэкс, в таскменеджере левых процессов нет, но netstat -b на обоих компах показывает ленивое такое сканирование случайных айпишников, исходящее из процесса svchost.exe. В некотором замешательстве нахожу нужный svchost в таскменеджере по PID и убиваю. Однако. Тэкс, включил другой комп - интернет есть. Иду на страничку, где можно узнать, вырублен ли твой компьютер из сети Универа за что-либо. Тэкс, 134.93.ххх.ххх ххххх.Chemie.Uni-Mainz.DE ist gesperrt seit 04-05-2009 15:04 wegen 'portscans port 445'. Ах же ж гады. Злобно ругаясь (...ёппперный театр, ну хотел же поставить антивирус уже...), с трудом нахожу актуальную версию бесплатного антивируса от AVG и списываю её и ейные апдейты на флешку, с каковой устанавливаю это всё хозяйство на свой комп и на сервер. Запускаю сканирование c:/WINDOWS/ Через какое-то время антивирус находит dll-ку со случайно генерированным именем в windows/system32 и выдирает её оттуда. Типа, троян Agent.ASKJ. Что интересно, не удаётся сразу выгуглить, шо это ваще за вирус - каждый писатель антивирусов называет их по-своему. Нашёл походу замечательную страничку, где файл можно просканить разными антивирусами (соответственно, узнав все ихние наименования для вируса) и сканирую файлик там - вот, собственно, отчёт. Ага, разновидность Conficker, о котором так много говорили
Как оно грамотно поставилось однако, вообще ничего в системе в первый момент не заметно... откуда же эта скотина ко мне пролезла? А должен сказать, что у меня на рабочем компе не выключен autorun и перед обедом ко мне заходил коллега с флешкой. А этот коллега как раз меня с утра спрашивал по поводу того, что у него на компе антивирус изловил какого-то вируса. Тэкс... Звоню и прошу посмотреть, нету ли у него на стиках файла autorun.inf. Есть! "Это у тебя вирус. Не вытирай, переименуй в .txt и зайди ко мне, я посмотрю что это там". Смотрю... вау, а у меня комп оказывается вдруг не показывает скрытых файлов: в FAR я вижу этот autorun.inf, а в виндовом эксплорере нет. И включить показ не могу!* Ай-да сукин сын, вирус этот! Файл вызывает подозрение уже тем, что он не текстовый, а бинарный, размером 50+ кБ. Излишне говорить, что там внутри тоже вирус. Более того, на стике создаётся папка, маскирующаяся под корзину, и туда ложится файл чтототам.vmx, тоже компонента вируса. Вот как... но как вирус при этом попал на сервер, в который никто стиков не тыкает?
На всякий случай включаю посмотреть ещё другой подозрительный комп с устаревшим антивирусом. Вроде вируса там нет, но давай-ка обновим там антивирус и винду. Вставляю туда свою флешку с антивирусом, устанавливаю апдейты, перезагружаюсь, хопа, windowsupdate.com недоступен... netstat -b - идёт сканирование... йеппппп-понский бог, и тут теперь вирус! Флешка? да, опять скрытый autorun.inf. Блиииин, я лопухнулся, ничего не скажешь. Хорошо что вчера вечером не успел флешку никуда дома воткнуть...
Проверяем флешки, проверяем все компы на вирусы.
Хорошо день проходит, творчески...
-------------------------
*Вот эта тулза умеет проделывать упомянутые и прочие важные антивирусные манипуляции автоматом.
