Как вирус попал на мой компьютер? (объяснение ситуации прилагается)
Моя система - Windows XP SP3, обновленная последними обновлениями.
ПК подключен к маршрутизатору C is co 877 ADSL, который отправляет NAT из внутренней сети на один статический общедоступный IP-адрес. Переадресованных портов нет, а консоль управления маршрутизатора доступна только изнутри.
Я делал две вещи: работал на машине удаленного офиса через VPN и просматривал некоторые веб-страницы на веб-сайте C is co.
Удаленная сеть абсолютно безопасна (это лабораторная сеть, четыре виртуальных сервера, нет общедоступных служб и вообще нет пользователей; кроме того, ничего из того, что я собираюсь описать, там никогда не происходило).
Веб-сайт C is co... ну, я полагаю, тоже вполне безопасен.
Внезапно что-то случилось.
Странные всплывающие окна появляются где угодно; программы, утверждающие, что они являются "вредоносными программами", "антишпионскими программами" и т. д., начинают автоматическую установку; Поддельные значки Центра обновления Windows и Центра безопасности появляются на панели задач. svchost.exe начал сбой неоднократно. Затем, наконец, через несколько минут этого... BSOD.
И после перезагрузки снова BSOD. Даже в безопасном режиме.
Хорошо, это был какой-то вирус / троян / что угодно. Мне пришлось установить новую копию Windows в другом разделе, чтобы очистить вещи. Я нашел странные исполняемые файлы, сервисы и библиотеки DLL почти везде. Среди прочего были заменены user32.dll и ndis.sys. Поддельное программное обеспечение под названием "Antimalware Doctor" было установлено. Существовали сервисы с абсолютно случайными именами или даже GUID (!), А также с именами "IpSect" и "Darkness". Были исполняемые файлы без расширения.exe. Было даже два драйвера загрузочного класса, которые, я уверен, являются теми, которые в конечном итоге привели к сбою системы.
Настоящая бойня.
Хорошо, теперь вопросы:
- Что это было?!? Это было нечто большее, чем простой вирус!
- Как ему удалось атаковать мой компьютер, поскольку я нахожусь за брандмауэром и в то время не делал ничего, даже потенциально опасного для Интернета?
2 ответа
Похоже, это был "Непродур": http://www.prevx.com/blog/115/Neprodoor-flies-beyond-the-radar.html
Мне удалось очистить почти все, работая с новой установкой Windows на другом диске... но этот зверь установил буквально десятки вредоносных программ в системе, и у меня все еще был сломан Центр обновления Windows (например, hosts перенаправление, но файл hosts был пуст), и некоторые рекламные сайты появлялись время от времени.
Я закончил форматирование и переустановку... больше не мог доверять системе. Ну что ж, пора было переходить на Windows 7:-)
Но я до сих пор не знаю, как он попал в...?!?
Это очень похоже на проблему, возникшую у меня недавно с XP Antispyware, эксплойтом на основе Java, который отключает брандмауэр и антивирус, утверждает, что обнаружил сотни вирусных инфекций, добавляет поддельные значки центра безопасности на панель задач и предотвращает запуск. программы exe, чтобы вы не могли запускать антивирусные программы.
Есть исправление, но вы должны знать, что вы делаете - неочевидно - и запустить небольшой скрипт в реестре, чтобы убить блокировщик.exe, или он просто продолжает возвращаться. Тогда вам нужно избавиться от плохого плагина Java в вашем браузере.
Прочитайте все об этом по адресу: http://lifehacker.com/5499124/how-to-remove-xp-antispyware. Это было спасением для меня. Я очень осторожен с вирусами и т. Д., И до сих пор мне повезло, но этот был на машине до того, как я понял, что произошло. Я до сих пор не знаю, где я взял это.