Съдбата на всеки който се е включил в ЛАН мрежа и има наглостта да пусне ПрозорциХР е да се пребори и с това. Особено когато не си имал дълго време интернет и не си ъпдейтвал.
Интересна битка стана.
НАЧАЛОТО
Антивирусните програми нищо не казват. Последния
стингер също. Как познах че имам буба? Ами много лесно - не е нормално прост интернет потребител като мен да изпраща 10 пъти повече информация от колкото получава. Особено когато сърфира из интернет и драска по разни блогове.
ПЪРВИ СТЪПКИ
Изпълнено е необходимото и крайно условие в такива случаи: Пускането на Супер Надеждна Огнена Стена!
Е, то Джамците не разбират многомного от това та направих нещо по-простичко: пресегнах се и извадих мрежовия кабел.
ОПОЗНАВАНЕ
Благодарение на скромните ми познания относно компютърните вируси започнах внимателно опипване на почвата. Отварям regedit и тамън тръгвам към HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion... Хопаланка - изчезна ми джама! Мдам - определено има нещо гнило. Да видим какво ще каже Управителя на Задачите. Отвори се. Едно процесче доста процесорно време ми е изяло. Почти колкото Празния ход на джама. Я да видим къде се намира? Windows/System32/wmpupdate.exe. Юь кзаьше (Брех! Кое копче натиснах та смених регистъра на БДС? Очевидно съм го намерил кое е ;р) Не мяза на ъпдейт за прозорчена програма - към 500к е, а и мястото едно такова... Я да го поразгледаме - (ВНИМАТЕЛНО) проверявам дали не е пакетиран изпълним фаил: не е. Бързо насъсквам една от последните ми придобивки -
OllyDbg(Много як дебъгер! Как не ми е попаднал по рано?). Бла-бла-бла... Да видим какви текстови стрингове има: PRIVMSG QUOTE QUIT JOIN CONNECT... От къде ми е познато това? ... 6667 ... Ахааа бубата си има IRC клиент... Дай да видим по натам: Quake 3 cd key found %s, HalfLife cd key found %s ... И ще ми краде ключовете на игрите! Няма смисъл да рова повече, но един последен поглед: admin, qwerty, qazwsx, sex, puissy, test, guest, visitor, 123, 12345, 123456... Имаме си и списък с думички. Май е време да го спрем.
БИТКАТА
Пускам regedit. Чакам и броя на ум. 10..20..30..(май бързичко броя...) Изчезна - Таймер значи(Върши си работата гадината и чат-пат поглежда дали юзъра не е решил да рови в регистрите. Бе к'во има да рови там? Я сиктир...). Пускам го пак. Хитър редактор - помни си последния ключ по който е пипано. Пак изчезна. Хайде да си поиграем а? Пускам regedit щракам едно две нива до заветната цел и излизам. Пускам пак. Продължавам... Нейсе! Настанил се е в Run. Я да го забършем и да рестартираме?
...
Ха! Пак го има! И ключа в регистрите се е появил! НАГЛЕЦ! След сравнително кратко и напразно търсене на лоадер из дебите на системното дърво реших че е време да се попитам до някой по-умен от мен. Но как да стигна до Google? С този наглец в комп-а? Да бутам линукс - хем ме мързи хем няма да е интересно. Трябва да има тръпка. Дали не може да го спра някак си? Пак отварям дебъгера. 500к - та това са само 4 символа: 3 цифри и една буква. Ама колко информация се крие... Анализа на програмата ще ми отнеме седмици дори след като си поприпомна асемблера.
А и ако го счупа току виж се усетила гадината и ми поразместила/заместила с нули/ битовете по харддиска ми - ей така - за спорта. Чувал съм за гадини които го владеят този спорт...
Я да видим за какво е менуто Attach в хубавичкия дебъгер... Я списък на процесите! И моя хубостник се мъдри почти най-долу. Я да те видим какво правиш в момента след като нямам мрежа? Ихааа дебъгера се закача и го блокира готов за изпълнение стъпка по стъпка. Пускам Управителя на Задачите за да видя как се държи хубавеца? Не ми яде от процесорното време. Хубаво. Абе какво има да го трасирам и дебъгвам? Я да си закачам мрежата и да пускам обновяването на джамците.
СЛЕД БИТКАТА
Имам мрежа! Дори интернет! Докато гледам как приетите байтове настигат изпратените с цел задминаването им ми хрумна гениалната идея да си пусна пак regedit-a. 10..20..30..40..50..60... Не мре. Хубу. Я да се поразгледаме малко - ето го и в RunServices. Значи ми се прави на Услуга гадината! Кофти услуга. Вижда ли се в Услугите? Да! Дори удобно се е наместил сам да се стартира. Я да го спрем - Ядец! Нали съм го запънал в ъгъла с дебъгера. Дори и да излезе не може. Е, нека си седи. Засега. Нали не пречи? Мдам нямам ги стандартните RPC и DCOM кръпки. Изтеглиха се. Сложиха се. Предлагат ми да рестартират машината... ЧАКАЙТЕ! Бързо забърсвам следите от него в регистрите, маркирам Услугата му в Услугите като деактивирана и тогава оставям обновяването да продължи. С рестарт. Имам спомен че системата за ъпдейт бързо прецапва нещата и изтребва безусловно до крак. Дори по добре от масово рекламиран препарат за насекоми. Оставям го до последно добре запънат от дебъгера и се надявам да умре по бързо от колкото да реши да проверява и пише отново в регистрите. Стискам палци.
...
Трепетно отварям Управителя на Задачите. Няма я гадината. Ама дали не се е прекръстила под друго име? Пускам regedit. 10..20..30..40..50.. Поглеждам в регистрите няма следа. По мрежата получените пакети са повече от изпратените. Така трябва. Преименувам изпълнимия файл, архивирам го с паролка (за да не ми го забърше някоя нахална антивирусна програма) и бутам в архива. Някой ден ще го разгледам кой е, к'ъв е и за к'во се бори.
ЗАКЛЮЧЕНИЕ
Бъдете винаги нащрек за всякакви изненади. (Постно заключение на фона на горната тирада, но си запазвам правото да го редактирам)
