Когда мало кто знал, что значит Ctrl-Alt-Del,
Когда не каждый ребенок калькулятор имел...
Мы были молоды и не страшились преград,
Где не спасет перезапуск, поможет format...
Мы привычно плевали на любой Copyright,
Нам казались простором даже 100 килобайт...
Но перед нами прогресс открывал все пути,
И, бросив старых друзей ради новых IТ...
Но это время прошло, но это было давно,
Теперь у каждого нудной работы полно...
А ведь когда-то не боялись мы программы любой,
И с одним лишь debug'ом выходили на бой,
И искусно написанный вирус встречали как брата.
Сегодня пытался отремонтировать ПК у знакомой. До этого я ни разу не уходил, не починив компьютер! Но то, с чем я сегодня столкнулся, заслуживает, по меньшей мере - восхищения, это был самый искусный вирус из всех, что я когда-то видел, а я повидал не мало вирусов, т.к. являюсь коллекционером сего чуда (профессиональный съезд по крыше вызванный моей спициализацией, и ЛС мне не пишите с глупыми вопросами ). Должен признать первое в соей жизни поражение от ПК! Но, противник был очень могуч, и у меня просто не было шансов, впрочем, как и у ведущих антивирусных программ (хотя некоторые версии этого вируса были пойманы). Он займет у меня особое место - если я конечно же, в будущем, найду его безопасную копию, т.к. та версия, на которую наткнулся я, даже флешку убила, на которою я сделал скриншот
Я его назвал: DA1350block (Почему? Все в посте ниже), но официальное его название winlock.trojan, точнее, его родителя, т.к. winlock.trojan - это детский лепет, хотя именно с него содрана общаю суть вируса и автор, насколько я понял - тот же. Касперский же назвал его Trojan-Ransom.Win32.Agent.af.
Итак, сначала рассказываю о c, он же Trojan-Ransom.Win32.Agent.af. (так же известен под именами: winblock.trojan, его модификации под общим названием Trojan.Winlock.origin. или Trojan.Winlock.19, ну, с именами пока хватит)
Началось все с 10 апреля 2009 года, тогда Dr.Web информировал о новой троянской программе, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение. Данный троян залазил только на пиратские версии винды (хотя не факт, но на лицензионке явно никто не поведется), и просил банальной активации, т.е. покупки ключа за смс. Довольно убидительно я вам скажу, по сравнению, например, с тем же "Узнай звонки с мобильника...".
Инфа для тех, кто нашел тему в поисковике и ищет способ избавления о этого вируса. Смотрите инфу здесь. И, если не поможет можете вернуться Вернемся к теме...
Есть ещё десяток способов избавиться от зловредного нахала, писать я эти способы не буду, в поиске они прекрасно находятся в два-три запроса. Но смысл таков, что удалить этот троян, или же его модификации можно банальными вещами (из своего опыта скажу, что подобные фичи делаются специально для того, что бы создатель мог легко и быстро вырубить вирус, тестируя его [да, уважаемые - вирусы тоже тестируются перед отправлением в паблик]), в эти банальные вещи входит (я очень кратко):
1) Поворачиваем время вспять (таймер виндовс), вирус перестает работать. Что бы вернуть время на свое место см. 2
2) Панель управления - установка удаление программ, удаляем подозрительный файл (название программы уникально для каждой модификации). Действует только при выполнении п.1
Естественно, дейтвуют они далеко не на всех модификациях, но на оригинале - работают, так же работает простой код активации: 6523 (временное решение)
Возвращаемся к именам, и теперь мы уже поговорим о модификации, названной DA1350block, или, полное имя: Trojan.Winlock.DA1350
DA - аббревиатура Digital Access
1350 - номер на который надо отправлять смс
block (сокращенно от Trojan.Windows block)
Надеюсь, следующий текст вас немного развеселит, вам-то не пришлось пока возится с этим вирусом. А читать историю о другом всегда весело. Ну, вот вам история, вся ирония в том, что она не выдумана
Я пришел к знакомой по просьбе "Убрать сообщение с рабочего стола, которое мешает работать". Надо признать, оно и вправду чуть-чуть мешало, загораживало 75% всей рабочей области красным цветом с замочком, жирной надписью "Ваша сеть заблокирована". Видите выделение жирным на слове "сеть". И главное, вирус не врал, сеть не работала, хотя подключение было включено. Нде, совсем не сильно мешает, я же обладают противо-оконным зрением, вы вот можете определить не закрывая браузер, где и что у вас на рабочем столе? Правда мое противо-оконное зрение не работало, комп-то не мой. Так я начал войну с вирусом!
Моя первая атака - диспетчер задач. Я вообще не удивился, когда не нашел такого процесса. Следующее мое действие было - msconfig - автозагрузка ПК. Уже интересней, и тут нет! Где же ты? Полез в реестр. И там его нет (там была куча других маленьких вирусиков, но моего врага не было). Так продолжалось около часа, в итоге я нашел его! В папке temp (как же я сразу не додумался)... Извините, упустил небольшую деталь, вирус выглядел как описанное выше сообщение, ниже там было указано куда отправлять СМС и ещё ниже "Ваши попытки обойти блокировку приведут к неисправности ПК".... Продолжаем рассказ. Когда я удалил файл из папки temp (первое время он удалятся не хотел, но это обойти просто), на его месет появилось - 2! Их я удалять не стал, я знаю, как делятся клетки - одна погибает рождаются две. Итак, каковы мои действия? Аха - антивирусник. Не работает! Ушел купить сигарет и пивка, в это же время зашел домой, поискал инфы по вирусу. Нашел! Но, как вы уже поняли, эта модификация - куда мощнее первой версии. Накопал чуть ли не сотню способов борьбы с ним. Вот те из них, на которые я хотел бы обратить внимание (все их описывать долго):
1) Попытка глобальной зачистки реестра. - Не помогает, когда пробовал этот способ, выяснил, что вирус блокирует приложение редактора реестра (просто зависает, даже ошибки не вадает).
2) Пробовал бороться с помощью avz - эффект, avz зависает на 5-ой секунде.
3) Пробовал безопасный режим - сообщение не исчезает, эффект тот же.
4) Все важные антивирусники (и каспер, и веб, и нод), обнаружил лишь каспер, но во время попытки удалить его, завис - 2 раза подряд.
5) Теперь о шменом. Сделать откат винды! - Эффект 0
6) Ладно, сдаюсь, переустановить виндоус, время у меня не железное, бутылка уже пустая, провозился уже больше 3х часов, пора к крайним мерам прибегать! Форматируем - ставим виндовс... Вот тут я удивился! При чем, достаточно сильно, т.к. мои идеи, хоть и не закончились, но уже подходили к концу Сообщение продолжало висеть даже после форматирования! (И судя по всему, была простая имитация такого форматирования)
7) Победить вирус - другим вирусом, способ рискованный, но верный. К сожалению, мой троянчег оказался намного слабее (подобен моему врагу, но его смысл в том, что берет все администрирование на себя, и блокирует все процессы, кроме одного - своего, который позволяет без вызова синего экрана отследить все процессы). Только в действительности как раз появился синий экран, которого быть не должно по идеи...
Что делать? Я сдался! Все что я смог дать хозяйке ПК - это совет, отправить жесткий в корзину. Эта тема, пожалуй, последняя надежда победить вирус. Если вы знаете как (только плж, не копипаст, я поисковик измучил запросами об этом вирусе, и, если вы знаете способ, похожий на способы выше, то лучше не пишите его, впустую тратить время не хочу), то дайте мне знать! В частности, если это сообщение читает автор вируса - респект!
Теперь нам лень изощряться, оптимизировать код,
И интерфейс с дураками мы пишем из году в год,
Свыклись с мощной машиной, отвыкли от всякого риска.
я как то словил такого вируса - но наверное послабее. диспетчер задач он вызывать не давал, но у меня есть прогам, всегда активная - process killer - режет все под ноль!
вот с ее помощью - правда вирус оч сопротивлялся, выходя на передний план - я все таки уловчился убить его.
дальше за дело взялся касперский интернет секьюрити и унитиожил гада окончательно
возможно, вирус посурьезнее у тебя, но решение думаю должно быть )
Немного не по теме, но я когдато ЧИХ ловил...
А есть вариант перетыка винта на другую машину, спасение всего ценного и глубокое форматирование, или опасность заражения слишком велика?
А есть вариант перетыка винта на другую машину, спасение всего ценного и глубокое форматирование, или опасность заражения слишком велика?
Если бы это был мой ПК У знакомой-то ПК новый, на гарантии, попросила меня в качестве легкого "помощника". А в качетсве риска: флешку вставил, сделал скриншот - сохранил на флэшку. Домой прихожу, втыкаю флэху, на флэшке один единственный файл - тот что был в temp, ничего нельзя сделать, ни форматнуть флэшку, ни удалить с неё что-то ни вставить новое. Файл в неопознанном формате, ничего не делает (вроде как) - скрыт.
Сегодня знакомая отвезла комп в магазин, что бы затеребовать гарантийный ремон, там около получаса прокопались (по её словам), и сказали что нудно пройти диагностику, пусть преедет завтра. Будем следить за успехами
Цитата:
я как то словил такого вируса - но наверное послабее. диспетчер задач он вызывать не давал, но у меня есть прогам, всегда активная - process killer - режет все под ноль!
вот с ее помощью - правда вирус оч сопротивлялся, выходя на передний план - я все таки уловчился убить его.
Есть у меня эта программка (на диске особом записана вместе с подобными и с переносной ОС), но проблема в том, что вирус не был процессом и не имел одного исполняемого файла, он являлся тем, что меняет саму начинку windows, в реестре (то что я в стандартных путях, через которые делаются злые вещи ничего не нашел - ещё не значит что скрытых ключей нигде нет, ведь не зря же он реестр заставлял зависать при каком-либо действии), внутри исполняемых файлов, может где-то ещё... Избавиться от него, убив процесс - не получилось бы, процесса нет.
Цитата:
Немного не по теме, но я когдато ЧИХ ловил...
Злая и опасная вещичка, я бы не хотел с ним столкнутся одын на одын И как избавился от него? BIOS поменял или есть способ попроще?
хм... у меня подружки ловили... одна винду переустановила и все норм стало - благо мозг на месте и хоть что-то соображает в компе, другая - отправила смс. как результат минус 600 рублей...
А винт форматировал ты случайно не при помощи инсталятора операционки?
Ну... Вообще-то да или нет.. Ну как... У меня установочный диск с ОС, т.е. он отдельно содержит переносную операционку. Я загрузил с него операционку (т.е. жестким стал как бы DVD диск), затем правым кликом по диску С:\ - форматировать, затем перезагрузил и потом уже запустил инстляху винды
Ну вот и подошла история про ПК знакомой к логическому концу, в сервисе ремонта пострадал ещё 1 ПК (забавно ). На днях вернули отремонтированный ПК с новым (!!!) жестким диском. Насколько я понял из рассказа знакомой, зараженный диск (внимание) - размогнители в целях безопасности А компания-то не абы-какая занималась ремонтом. Моя догадка такова, компания возилась с этим вирусом, решила попробовать метод, похожий на тот, что предложил UHO (пострадал ПК), поскольку способа борьбы компания не нашла, решила диск - уничтожить, а возможно во время ремонта получилось так, что диск пострадал, и размагнитить его - был самый надежный вариант, к тому же это объясняет и то, что диск заменили как по гарантии, хотя с логической точки зрения, гарантия в таких случаях не работает Но это догадки, может даже никого не размагничивали, т.к. обо всем узнаю как в сломаном телефоне.
До сих пор не нашел средства борьбы с этим вирусом. Будьте предельно осторожны во время лазания по волнам интернета! А история о вирусе продолжается