bash.im ithappens.me zadolba.li

Вирусы

991

Virus.Win32.РукиНожницы

19 июня 2009, 19:30

Жил-был один парень, назовём его в целях конспирации Лёша. Году эдак в 2001–2002 Лёша очень сильно интересовался всяческим компьютерным хулиганством — началось это с прописывания в автозапуск разных пакостей, а вылилось в желание написать свой Первый Серьёзный Вирус. В качестве учебного пособия использовалось авторитетное печатное издание «Хакер».

Через неделю трудов Лёша написал-таки своего монстра. Задача была простая — убивать исполняемые файлы с расширением «exe». Способ убийства был весьма нехитрым: вирус откусывал определённое количество байтов от конца файла и переносил их в начало. Атакованный файл, разумеется, после этого при попытках запуска выдавал сообщения вроде «Кто я? Где я?», да и вообще вёл себя неадекватно.

Решил Лёша протестировать своё творение. Отключил антивирус и отдал на растерзание какой-то экзешник, который вирус моментально привёл в неработоспособнное состояние. Любопытство было удовлетворено. Лёша ушёл спать, оставив комп в рабочем состоянии с выключенным антивирусом.

Наутро обнаружилось, что вирус вышел из под контроля и поел все экзешники, до которых дотянулся. Каким-то чудом комп сохранял некоторую работоспособность, поэтому Лёша решил на скорую руку вылечить подобное подобным. На скорую руку в код вируса были внесены изменения; вторая версия переносила первые байты в конец.

Процесс пошёл — работоспособность некоторых экзешников вернулась. Но обрадовался Лёша крайне несвоевременно — в коде (анти)вируса не было никакого механизма, позволяющего определить, какие файлы он уже обработал, а какие — нет.

Закончилось всё тем, что совместными усилиями первый и второй вирус нашинковали все найденные *.exe в капусту. Как Лёша с этим справился — неизвестно, но меры наверняка были радикальными.

964

Профилактическая вакцинация

11 июня 2009, 11:45

Админили мы с другом одну фирму по удалёнке. В один прекрасный день звонок: «У нас база 1С не грузится». Заходим на сервер и видим, что кто-то вставил новый жесткий диск. Пребывая в лёгком шоке, открываем его и видим полный суповой набор чудесных файлов: fun.xls.exe, autorun.inf, csrcs.exe и прочие в том же духе.

Друг хватает трубку и перезванивает, пытаясь разобраться в ситуации. Оказывается, приходил человек, который обновляет систему «Гарант». Чтобы не тратить время, ставя апдейт на каждый комп, он решил залить обновление сразу на сервер — тут-то его и повело. Звоним в поддержку «Гаранта», описываем ситуацию и требуем, чтобы приняли меры.

Самое интересное заключалось в том, что все эти файлы были пустыми! Их специально создали на внешнем HDD и заблокировали от перезаписи, чтобы вирус точно не пролез. До сих пор непонятно, что случилось с 1С, но после перезагрузки всё заработало.

Ключ от серверной мы всё-таки посоветовали переложить в строго отведённое место, недоступное для юзверей — от греха подальше.

954

Конь-огонь

Работает в провинциальном городке в одной крупной конторе админ. Повадились тамошние женщины-бухгалтеры бальзаковского возраста по порносайтам ползать. Цепанули как-то дамы вирус — большой минус админу за недосмотр по поводу антивирусной защиты! Вирус этот вмиг прикрыл окно браузера фривольными картинками и призывом отправить SMS, чтобы снять блокировку. Конечно, бухгалтерия промолчала, будто и не было ничего. Но злобный вирус в отличие от админа не спал, и вскоре сообщение об отправке SMS начало появляться при запуске операционки. Об этом уже смолчать не удалось, и админ шустро все вернул на круги своя, обновив наконец-то антивирусник.

Задался админ вопросом, как отучить бухгалтеров от порнухи интернетовской — не хотел он каждый раз от свеженаписанной заразы лечиться. Варианты с применением физической силы были отметены как негуманные. Наконец метод был найден.

Бухгалтеры с компьютером дружили не очень хорошо — всего и умели, что в 1С документы проводить да в интернете «клубничку» искать. На всех машинах в бухгалтерии админ стартовую страницей браузера сменил с «Яндекса» на зоофилический сайта, где на весь экран был изображен гнедой жеребец с огромным... стимулом закрыть окно браузера.

Как показали логи, дальше этой страницы дамы не пошли ни разу. Пользуйтесь — вдруг пригодится?

895

Тапком его, тапком

На днях пили пиво с другом. Он рассказывал о новом «звере», буйствующем в интернете, и о том, как героически несколько часов чистил от него компьютеры в одной конторе.

Прихожу домой, запускаю машину и вспоминаю рассказ друга. Все симптомы налицо: пустой рабочий стол, окола десятка процессов, включая подозрительный «explorere.exe». Непонятно, как ко мне эта зараза попала — антивирус и файрвол стоят, да и винда регулярно обновляется.

Со злости резко разворачиваюсь на крутящемся стуле и, не успев поджать ноги, со всей силы врубаю по системнику. Компьютер обиженно зависает и выдаёт синий экран смерти.

Перезагружаюсь. Винда докладывает об исправлении серьезной ошибки. Запускаю диспетчер — всё как надо, все 30 процессов захламлённого компа и настоящий Explorer. Осталось только дочистить хвосты.

Дедовские методы еще действуют — один сильный удар способен вправить мозги, выбив всю дурь!

883

Коллективное несознательное

Сижу как-то в чате, общаюсь с народом. Чат дико тормозит — естественно, я вслух выражаю свою досаду. Первое, что приходит на ум моим собеседникам — вирусы.

Я отрицаю наличие и вирусов, и антивирусной программы: «Линукс у меня, ребята».

В чате повисает небольшая пауза. Следующая же реплика сбивает меня с ног: «Ну, реестр почисть тогда, если не в вирусах дело». Повторяю, что я все-таки в Линуксе. Чат слегка молчит, а потом выдает гениальнейшую реплику: «Ну и что?»

Мои робкие попытки объяснить, в чём дело, натыкались на поток идиотских советов: «выключи программу Линукс», «установи антивирус в правильную папку», «обнови базу».

В конце концов мне пришлось сдержанно поблагодарить собеседников за «советы» и закрыть браузер — все мои логичные возражения воспринимались как капризы.

С того момента я больше никогда не жалуюсь своим собеседникам на трудности со своей машинкой, если нет уверенности в том, что меня поймут правильно.

862

Поле битвы: ОЗУ

Лабораторная по предмету «Операционные системы», тема — batch-файлы. Мы с другом выполнили все задания, ждем, когда препод соизволит их проверить. От скуки был написан virus.bat:
:A
start cmd
goto A

Результат — растущая куча окошек DOS. «Вирус» тут же был оптимизирован:
start cmd
call virus

Нет предела совершенству, и код был сжат до одной строки:
start virus

Также была написана версия с повышенной жестокостью:
start virus /REALTIME /ABOVENORMAL
call virus

Теперь каждое созданное окно начинало безудержно плодить новые окна. Компьютер печально вис через пару десятков секунд. Тут же была разработана вакцина vaccine.bat, убивавшая все окна:
taskkill /F /T /IM cmd*

Ради интереса в начало вакцины была добавлена строчка start vaccinе. После чего начались «войны в памяти» — мы запускали вакцину и какой-нибудь из вирусов и наблюдали, кто кого победит.

841

Теперь твой экран покроется маленькими цветными точками!

Было это в далёком девяносто восьмом. Компьютеры ещё были чем-то загадочным, и те, кто хоть как-то в них разбирался, своим сленгом внушали простому обывателю уважение и страх перед неизведанным.

Приходит ко мне как-то друг — компьютер купили, а играть-то не во что. Перебирает диски на моей полке и доходит до какого-то «набора юного хакера».

— А что это?
— Этот... весь в вирусах. (Такие вещи лучше новичку не давать, решил я).

Начинающий компьютерщик бросает диск, с глазами, полными отчаяния, смотрит на свои руки и трагически произносит:

— Что же мне теперь делать!

Друга успокоил, вручив свежих игр и посоветовав хорошо помыть руки.

814

Вирусы тоже глючат

24 апреля 2009, 10:00

Поразила нашу налоговую инспекцию странная зараза: компьютеры полегли под действием вируса, похожего на Бластера. Выскакивает окошко: «Перезагрузка начнется через 5 секунд» — и ничего мы сделать с этим не можем.

Чтобы на машинах хоть как-то можно было работать, было решено отключить службы Workstation и Server. Естественно, это серьёзно мешало работе сетевого софта. Перепробовали все возможные и невозможные средства: ставили заплатки и обновления, проверяли всеми антивирусами и другими специализированными программами, даже форматировали компы — эффекта ноль.

Был найден исконно русский путь решения — в вирусе мы отыскали баг! Оказывается, если загрузиться с выключенными службами Workstation и Server, а через пару минут их запустить, компьютер продолжает работать, не уходя в ребут. На скорую руку был написан логон-скрипт — при загрузке он создавал задание, через 5 минут запускающее нужные службы.

Все заработало как часы, а мы даже получили благодарность от начальства. Интересно, что пострадали исключительно машины с пиратской виндой — может, это была новая акция Майкрософта по борьбе с пиратством?

807

— 30 см? — В диаметре!

Работаю в проектной организации примерно на 400 машин, сам администрирую около сотни кремниевых друзей в отдельном здании. Так как занимаются люди в основном чертежами, то и печатающее оборудование соответствующее — в частности, пара не новых, но надёжных и быстрых КИПов.

Для тех, кто не в курсе: КИП — большой плоттер со встроенным внутрь корпуса компьютером. Со стороны начинки не видно, всё закрыто крышками — станок как станок.

Однажды в сеть заполз известный вирус, создающий на всех расшаренных дисках папки «The Porn collection» с соответствующим содержимым. Проектировавший сетку админ то ли с бодуна, то ли по приказу начальства открыл на всех машинах администраторские права. Вирус был изготовлен добротно и, отправившись по витой паре в поисках машин без антивирусов, таки нашёл те самые КИПы. Тут вирус уже развернулся по полной — скачанные картинки он по возможности отправлял на печать.

В момент заражения сети перед КИПом стоял начальник — человек в летах, солидного телосложения, бывший военный — и ждал чертёж. Я безумно жалею, что лично не застал сцену, когда он увидел неспешно выползающий из КИПа дилдо, отпечатанный на огромном листе кальки.