Чем опасны новые вирусы?
Сейчас вирусов развелось, как весной грязи. И несмотря на все меры предосторожности и антивирусные программы, гаярды и файерволлы народ все ловит их и ловит. А потом лечится (за деньги у профессионалов или самостоятельно, порой с великими муками).
Поскольку меня частенько донимают просьбами полечить машинку, то захотелось мне самому оказаться в роли жертвы вируса, чтобы так сказать, на своей шкуре почуствовать каково подцепить заразу. Проблема в том, что мой ПК относительно прилично защищен, критические обновления ОС, антивирусных программ проводятся более-менее регулярно, и осторожность известная соблюдается. В общем нечаянно все как-то не удавалось заразиться. Но дождался, когда в один из моих засвеченных, где не надо, почтовых ящиков свалилось любопытное письмецо с вложением.
Нужно сказать, что спам-фильтров я не использую, опасаясь ошибок второго рода (когда нормальное письмо принимается за спам). Использую я в качестве почтового клиента не Outlook Express, а скромную летучую мышку TheBat!. Я ее давно полюбил за диспетчер писем. Он позволяет получать только заголовки писем, оставляя поначалу все письма на сервере. При просмотре заголовков, как правило, легко отделить зерна от плевел. У спама снимается птичка с колонки получить и после нажатия кнопки начать передачу весь мусор удаляется прямо на сервере и не скачивается на мой ПК. Дайалап - хороший учитель по части экономии трафика/денег/времени. Но есть и другие причины, по которым я не пользуюсь Outlook Express. Некоторые из них станут понятны ниже.
Что касается антивирусных программ, то несмотря на всю мощь продуктов Kaspersky Lab, на моем ПК живет куда как более простая бесплатная антивирусная программа AntiVir PE. В отношении потребления ресурсов компьютера она тоже гораздо скромнее именитых коллег (сказать конкурентов, наверное неуместно). В дополнение к ней у меня живет опять же бесплатная антивирусная утилита AVZ Олега Зайцева.
В качестве файерволла используется Agnitum Outpost. Не очень требовательный к ресурсам, легко настраиваемый и неназойливый.
Ну вот и весь мой инструмент.
Что же было в письме ?
К письму был приаттачен скромного размера (5 Кб) RAR-архив. В теле письма сообщался пароль к архиву. ... Угу. От некоего id‹какие-то цифры›@‹что-то.где-то› . Письмо было на английском языке. Почти все мои корреспонденты обычно пишут по-русски. В общем подозрительно. Ну сохраняю я этот архив в отдельную папочку. Проверяю антивирусом. Говорит - нет там зараженных файлов. Проверяю в онлайне антивирусом Касперского - тоже ничего. Смотрю встроенным вьюером WinRar - и вижу хитрючий JavaScript. Там по тексту вызывается некоторая функция, расшифровывающая зашифрованное тело скрипта. В принципе, если бы не поленился, то все при некоторых затратах времени можно было бы разобрать ... Но я уже говорил, что имел цель заразиться ...
После небольшой подготовки (копирование системных файлов и реестра) приступил к заражению ...
Зараза
Запускаю этот файл и Internet Explorer мигом рвется на какой-то сайт. В окне IE ничего не наблюдается, но ... деактивируются антивирус и файервол. Естественно, немедленно выдергиваю кабель компьютерной сети, обеспечивающей доступ к Internet.
Попытка запустить сканер антивируса не дает ничего - сканер тут же завершает работу. Для смеха запускаю файерволл - тот же номер. Ну и что теперь делать-то ?
Первое, что приходит в голову - поискать свежие exe и dll файлы (с текущей датой и временем в системных папках). Попутно выясняется, что вирус заблокировал переключатель клавиатуры с русского на латынь. Ну и ладно. Сортировка файлов по дате в FAR работает - нашел dll-ку. Теперь с помощью regedit нашел откуда к ней идет обращение. В принципе, удалив ветку из реестра и удалив в безопасном режиме dll-ку можно вирус деактивировать.
Но теперь я выпускаю на этого зверя AVZ. Заметьте, AVZ двухмесячной давности :). AVZ - дает достаточно подробную информацию, находит dll-ку.
Сохраняем штамм. Грузимся в безопасном режиме. Все чистим ручками. Подключаем кабель и проверяем штамм на сайте Kaspersky Lab. Как всегда, Касперский на высоте. Правда описания этой конкретной модификации еще нет (ее нашли и изготовили лекарство всего несколько часов назад). Ветки реестра в Энциклопедии в основном те, что надо. Естественно, свежая антивирусная база содержит полную информацию. Но уже понятно, что лечение вручную проводилось верное. Через 2 дня бесплатный AntiVir PE тоже смог опознать штамм ...
Так что же это за зверь ?
Проверенный файл: msbn32.dll msbn32.dll - инфицирован Worm.Win32.Feebs.z
В моем конкретном случае ключей в реестре было побольше. К счастью, поскольку я не пользуюсь Outlook Express, адресная книга в нем была пустая :) . По этой же причине вирус не смог найти там и имя SMTP сервера для организации рассылки. Отправить сообщение через другой SMTP сервер не дал бы мой провайдер, блокирующий доступ через 25 порт к сторонним SMTP серверам ... Так что, к счастью, я не содействовал распространению вируса.
Поиски описания Worm.Win32.Feebs.z в Интернете привели меня на ресурсы:
где Олег Зайцев дает более подробное исследование этого опасного червя.
Некоторые итоги
Проведенный эксперимент показал, что вирусописатели достигли высокого уровня в противодействии разного рода антивирусного ПО. Отключение таких передовых линий обороны как файерволл и антивирус позволяет злоумышленникам проводить дальнейшее заражение этих ПК. Впоследствии такой компьютер может быть использован в DDoS атаках, рассылке спама и мало ли какой еще гадости ...
Впрочем, хотел бы предостеречь читателей от скоропалительных выводов о слабости средств защиты ПК от грядущих вирусов. Не будем забывать, что заражался я все-таки добровольно ...
Безопасность нашего компьютера и наших данных во многом зависит от нас самих.
