Pull to refresh

Не забывайте про ReadyBoost-флешки

Reading time 2 min
Views 6.8K
История произошла не со мной, но при мне — в буквальном смысле, в соседней комнате. Публикуется с позволения виновника/главного участника/а также главного пострадавшего.

Ситуация проста до не хочу. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven. AVG Internet Security смог только лишь промямлить: «Сударь, в системном процессе троян!» Точнее, два трояна: Win32/Virut и Win32/Heur. Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe. При следующем запуске, система отказывается стартовать explorer, как результат — отсутствующий рабочий стол.

Дальше интереснее. Рассматриваем, что пишут интернеты про данные троянцы. Первый (Virut) удаляется с помощью замысловатых remover'ов от различных контор: той же AVG (rmvirut), Symantec, Dr.Web (с их CureIt!). Со вторым сложнее, точнее — никак. Обещают конец света и полный апокалипсис сегодня. Под защищённым режимом была сделана попытка излечиться от Virut'а, cureit нашёл порядка 600+ (sic!) объектов (в основном в системных директориях), которые попытался (и вроде даже) вылечить.

Повторная перезагрузка в обычный режим показала, что действия почти бесполезны. Сайты всех антивирусных программ заблокированными так и остались. SpywareDoctor, который, было, хотел взяться за Heur, просто не смог скачать базы. Как итог, самые важные данные были сохранены на флешке. В тот момент заражёнными были файлы только на системном диске.

Далее идёт загрузка с установочного диска Vista'ы, удаление системного раздела, его ресоздание и форматирование. Ну и установка родной для ноутбука VHP. Далее вроде бы всё успокоилось: шёл обычный процесс переустановки системы — скачивание update'ов, установка драйверов, был поставлен Norton 360, который не хотел работать под Seven (слетала онлайн-защита Sonar из-за отсутствия поддержки новой системы — этот косяк поправили в вышедшей на днях 3.5 версии Norton'а). Вроде бы ничего не предвещало беды…

Но в один момент обновления системы с Microsoft'а скачиваться просто отказались — Центр обновления сетовал на невозможность подключиться к хранилищу заплаток. Последовала попытка открыть сайт какого-нибудь из антивирусов — ноль ответа. В тоже время Norton молчит и «тупит глазки».

Как оказалось, это была не его вина. Он пытался сделать всё что мог… при отсутствии всех своих баз, которые чуть раньше просто не смог слить с официального сайта Symantec'а. В то же время ни в автозагрузке, ни в реестре, ни в процессах ничего вроде бы лишнего не наблюдалось. Троянец сидел, вернее восседал, глубоко и с кривой ухмылкой.

Причиной всех проблем свежевосставшей из пепла системы оказалась SD-шка ReadyBoost, которая торчала в card-reader'е под Windows Seven, а потом продолжила работать и творить зло уже под новой системой. Про неё просто забыли. Как следствие, в подобных ситуациях не забывайте вытаскивать все носители и передатчики информации из заражённой системы.


Update: благодаря активности Хабрапользователей, у меня появилась возможность пригласить на ресурс виновника суматохи и пострадавшего Yurgeno. Я думаю, он с радостью ответит на ваши вопросы и прояснит некоторые неточности, которые я мог допустить во время пересказа событий.
Tags:
Hubs:
+41
Comments 143
Comments Comments 143

Articles