Сорри, за дългия пост, ама май е настъпила принципна промяна в ситуацията с вирусите и троянците...
Напоследък битката с тях става безнадеждна. От самотно занимание на асоциални хакерчета, производството на троянци се е превърнало в многомилионен бизнес. Доходите само на RBN от създадените от техни троянци бот-мрежи се оценяват на 150 милиона долара. Счита се, че зомбираните от тях компютри не падат под милион, някои сочат и многократно по-големи цифри, заради извънредната трудност по диагностицирането на заразите. Софтуерът т.е. троянците им са на изключително професионално ниво, ъпдейтват се самостоятелно, базират се на rootkit технологии, включително използвайки виртуализация на вашия компютър. Стандартните антивирусни програми във вече заразен компютър не са от никаква помощ, а спецовете явно ивестират в собствено проучване за бъгове в ОС, браузери и друг софтуер, защото винаги изпреварват значително всякакви ъпдейти. А вече веднъж настанил се rootkit е трудно откриваем дори за специализирани инструменти.
А RBN съвсем не е единствената мощна международна организация, произвеждаща троянци - има и десетки други.
Ще споделя собствен опит. Най-напред да поясня - професионално се занимавам с ИТ от времето, когато програмите ми тежаха по няколко килограма перфокарти и междувременно не съм "изпускал влака" в тази област.
Та, касае се за домашен компютър с XPSP3 напълно ъпдейтнат с последните кръпки, свързан към Интернет през NAT рутер. Резидентни файъруол и антивирусна програма, ъпдейтващи се автоматично на всеки три часа. Браузерът е Файърфокс, също актуално ъпдейтнат. Излишно е да споменавам, че всичко това е конфигурирано максимално рестриктивно, при това от параноичен професионалист. Никога на този компютър не е стартиран какъвто и да е "съмнителен" софтуер. Някой сеща ли се какво разумно средство бих могъл да добавя, освен да срежа кабела?
Ровейки в "Направи сам" кликнах на един линк на електронен магазин. Само за миг мярнах в статусния ред на Файърфокс нещо, съдържащо "windowsupdate". И тъй като вече казах, че съм параноичен, спрях за да анализирам случилото се - няма абсолютно никаква причина този сайт по някакъм начин да е свързан с ъпдейтване на каквото и да било. Сайт като сайт, но в изходния текст на страницата явно имаше инжектиран чужд JavaScript. Кодът трикратно шифрован като матрьошки. След няколко часа работа стигнах до едно руско IP и странно обръщение към MS DRM. Толкова за страницата - никакви симптоми в лог-файла на файъруола или антивирусната... Но изненадата бе, че че рутерът междувременно беше отворил чрез UPnP нов порт и интензивно си комуникирах през него. Нито таск-менажера, нито файъруола, нито дори статистиката на мрежовия адаптер отчитаха каквото и да е движение. Никакви чужди процеси - нищо. Следва сканиране с четири различни антивирусни програми - пак нищо... Излишно е да казвам, че систем ристор също с нищо не помогна...
Стартирах компа от външна "чиста" операционна система и установявам, че делът на диска на който бях инсталирал ОС вече не е праймъри, а екстендед, а пък в него боза... А откъм контаминираната ОС нещата изглеждат непроменени
Ще спестя цялата борба по извличането на важните данни от заразения диск - накрая ги изтъркалях от заразения компютър до чист по мрежата...
След като
след всички разумни предпазни мерки, руснаците все пак успяха практически незабележимо да ми зомбират компютъра, рухнах и сритах окончателно MS. Сега пиша тези редове от същия комп, но с инсталиран openSUSE, с което се простих и с последният Уиндоус около мен, надявам се и с троянците...
