Все-таки це сталося - Катюха підчепила (під своєю учеткой) заразу. На моєму основному ноут :-( NOD32 заразу не побачив, але він давно не оновлювався бо ліцензія скінчилася. Так що відразу з'явився привід продовжити ліцуху.
Коротше, трояшка цікава, вже майже всі її копії повбивав, але вона ще жива. Щас ось основний ноут перевіряється в безпечному режимі AVZ і NOD32.
Розкопки дали багато цікавого, але це пізніше опишу. Проліз трояшка під оперою через жаву (jre). NOD32 його визначає як Kriptik. Помітили коли Катюха спробувала у "вконтакте" зайти, на його головній сторінці з'явилося повідомлення з проханням відправити смс.
Виявилося, підміна hosts. Але не банально, а вельми цікаво.
Почалося все банально - Катюха заявила що не може потрапити на "Вконтакте". Я спочатку подумав що вінлокер какой-нить, але виявилося що повідомлення з проханням відправити смс - на головній сторінці "Вконтакте". Зрозуміло, що підміна сервера. Поліз в% WINDIR% \ system32 \ drivers \ etc \ hosts А там порожньо. Тільки локалхост прописаний.
Стало цікаво. Прогнав AVZ - лається на велику кількість хуков на системні виклики, пов'язані з файлової системою (і не тільки).
Функція NtCreateFile (42) - модифікація машинного коду. Метод не визначено.
Функція NtEnumerateKey (74) - модифікація машинного коду. Метод не визначено.
Функція NtEnumerateValueKey (77) - модифікація машинного коду. Метод не визначено.
Функція NtOpenFile (B3) - модифікація машинного коду. Метод не визначено.
Функція NtQueryDirectoryFile (DF) - модифікація машинного коду. Метод не визначено.
Функція NtQueryKey (F4) - модифікація машинного коду. Метод не визначено.
Функція NtQuerySystemInformation (105) - модифікація машинного коду. Метод не визначено.
Функція NtCreateFile (83088E82) - модифікація машинного коду. Метод не визначено.
Функція NtOpenFile (830B85C4) - модифікація машинного коду. Метод не визначено.
Функція NtQueryDirectoryFile (830B862F) - модифікація машинного коду. Метод не визначено.
Функція NtQuerySystemInformation (83074416) - модифікація машинного коду. Метод не визначено.
У безпечному режимі, в тому ж каталозі що й hosts виявився файлик з ім'ям host2 Його вміст дуже доставило:
dsf45453
85.234.190.72 www.telebank.ru
85.234.190.73 www.vk.com
85.234.190.73 mail.ru
85.234.190.73 www.mail.ru
85.234.190.72 telebank.ru
85.234.190.73 www.vkontakte.ru
85.234.190.73 vk.com
85.234.190.73 www.odnoklassniki.ru
85.234.190.39 www.alfabank.ru
85.234.190.39 alfabank.ru
85.234.190.39 click.alfabank.ru
85.234.190.39 www.click.alfabank.ru
85.234.190.73 www.odnoklassniki.ua
85.234.190.73 odnoklassniki.ua
85.234.190.73 odnoklassniki.ru
85.234.190.73 vkontakte.ru
gh54646455454
Відразу ж послав Катюха за маленький ноут, швиденько міняти всі свої паролі. Тут навіть Альфа Банк фігурує, яким я з деяких пір користуюся. Але там паролі одноразові, в смсках приходить, так що не страшно. Але все одно неприємно.
Коротше, залишилося знайти собссно заразу, яка цей файлик підміняє. Перевантажився в звичайний режим - а файлик немає. Просто тупо в каталозі немає файлу з ім'ям host2 І в консолі немає, команда dir його не показує. А ось команда dir host2 - показує :-) Причому, цей файл можна копіювати, відкривати, видаляти (але він все одно заново створюється). Якщо в будь-якому місці диска, або навіть взагалі на іншому диску створити файл з таким же ім'ям - відразу пропадає. Коротше, тут згадав що хукі висять. Ось зараза файлик і маскує.
Саме фігове що ні AVZ, ні NOD32 заразу не знаходять. Правда, на Ноде ліцензія скінчилася, так що швиденько купив продовження. Але все одно, нічого шкідливого не знайшлося. Воно і зрозуміло - никаться. Треба грузиться з LiveCD. А у мене під рукою нічого підходящого немає :-( Та й хотілося ручками заразу викорінити.
Завдяки AVZ вдалося знайти зачіпку:
7. Еврістічеcкая перевірка системи
>>> Підозра на маскування ключа реєстру служби \ драйвера "illyhadt"
Цей illyhadt.sys знаходився в c: \ windows \ system32 \ drivers і навідріз відмовлявся відкриватися, не те що віддалятися. І в реєстрі не давав себе прибрати. У диспетчері пристроїв, в списку несамонастраіваемих пристроїв знайшлося такий пристрій - "illyhadt". Правда, віддалятися воно навідріз не захотів - лається що пристрій пошкоджений і функціонує неправильно.
Довелося, все-таки, грузиться з LiveCD і проганяти антивирь. Які швиденько знайшли цей illyhadt.sys і прикінчили. Я вже було зрадів, проте, знову завантажившись в вінду, побачив що файлик host2 знову маскується. Знову його хтось прикриває, і знову ті ж хукі висять. Але час був пізній, хотілося спати. Так що з швиденько скачав завантажувальний диск вінди, зніс стару, дворічної витримки, Win7 і накотив новеньку. Так що зараз у мене чистенька Windows 7.
Так, ось такий я віндузятнікі. Линух на домашніх машинах не дуже поважаю. На серверах - тим більше. А ось фря на серваках - це так, фря рулит!
UPD> До речі, NOD32 заразу визначив як Win32 / Agent.RKL і як Win32 / Kryptik.FWU
UPD> А пролізла вона, реально, через браузер Opera при встановленій Java. А Катюха всього-то хотіла mp3 скачати по надісланій подругою посиланням.