В продолжении темы о трояне Trojan.WinLock

[quest4sanity]

В продолжении темы о трояне Trojan.Winlock

Ранее уже писал о трояне Trojan.WinLock и о том, что неразумно платить деньги за разблокировку своего компьютера. Но, если раньше я имел дело исключительно с чужими рассказами и выправлением ситуации по телефону, то намедни в мои руки попал самый что ни на есть зараженный компьютер, и я мог лицезреть это "чудо", так сказать, в его естественной среде обитания.

Разлочен компьютер был стремительно, благо под рукой был его собрат (в смысле компьютер), и можно было легко получить код разблокировки. Но вот дальше все оказалось не так легко и радужно. Дело в том, что слухи, будто разблокировка не удаляет самого трояна с комьютера, оказались вовсе не слухами. Троян действительно продолжает оставаться в системе. Что он там делает, я точно сказать не могу, но вспоминая матчасть по вирусологии могу навскидку сделать несколько предположений из разряда "возможно, но необязательно":

• Рассылает свои копии на другие компьютеры;


• Следит за вводом данных и собирает логины и пароли;


• Рассылает спам;


• Делает из компьютера интернет зомби, позволяя автору трояна в любой момент использовать его для приченения кому-нибудь вреда (вроде DDoS атак)

Итак. Получив после разблокировки доступ на свой компьютер, я попробовал разобраться и с трояном. Имеющиеся у меня в наличии антивирусники его опознать не смогли, хотя его следы (в виде странных файлов на диске) были видны даже "невооруженным глазом". Поиграв с антитрояновскими программами я тоже не смог добиться успеха. К тому же данный троян переконфигурировал систему так, чтобы обнаружить его было трудно, и сразу же убивал программы, с помощью которых можно было его вычистить (вроде regedit). Продолбавшись с ним полдня, я в результате решил откатить систему на несколько месяцев назад, воспользовавшись старыми образами диска C: чего и всем остальным теперь в подобной ситуации буду советовать.

Итак, резюме истории гласит.

• Господа, платите за разблокировку или не платите, а полного контроля над своим компьютером после заражения вполне возможно вы уже не получите (по крайней мере, пока разработчики антивирусного обеспечения не подберут "ключи" конкретно к вашему штаму). Так что уж лучше сразу откатывайтесь на заранее подготовленные, например, Acronis-ом, рубежи.


• В современной ситуации обеспечить безопасность и устойчивость работы своего компьютера простая "домохозяйка" без помощи грамотного специлиста не сможет (даже с учетом крупный вложений в дополнительный софт). Таким образом все преимущества Windows перед Linux в одношении юзабильности, про которые так любит рассказывать майкрософт, в подобных ситуациях оказываются банальным Пшиком. В большинстве случаев вам все равно придется обращаться или к опытным в отношении компьютеров друзьям, или к коммерческим специалистам. Так стоит ли овчинка выделки? Может быть все таки, с учетом всех баталий с авторскими правами ( свободу Torrents.ru!!! и т.п. ) и патентами на программное обеспечение, имеет смысл попробовать перейти на Linux (Ubuntu - чем не вариант?).


• Запускать стремные программы (например кейгены) и ходить по стремным сайтам в интернете стоит только в виртуальной машине (например VirtualBox). Ее как правило не жалко угробить, ведь важных данных на ней как правило не хранится. Таким образом, когда она окажется зараженой, ее всегда можно оперативно и без лишних эмоций восстановить из предварительно сохраненного образа. А то, что виртуальные машины требуют много памяти - так ведь и память нынче стала довольно дешева. За 3 т.р. вполне можно купить 4 гигабайта, которых более чем достаточно для запуска одновременно 3-5 виртуальных машин с WindowsXP на борту.


• Люди, которые удовольствуются одной лишь разблокировкой, и оставляют все остальное как есть, подобны скрытым носителям венерических заболеваний на которых в советские времена распространялся закон о принудительном лечения.

Вобщем, имеющий голову, да разберется, что к чему.

Comments

[quest4sanity.livejournal.com]

Ну, я не фанат до охоты на вирусы. Тем паче, что там все самое интересно находится в регистрах, а как получить доступ к регистрам, принадлежащим другой копии Windows я не знаю, и соответствующего софта не имею. К тому же, навыков такого рода копания у меня нет, а в сложившейся ситуации надо было действовать сравнительно оперативно. Так что я не стал особо долго заморачиваться. Просто потыкался несколькими известными мне способами, получил по всем им отлуп и применил "оружие массового поражения".

[cdplayer.livejournal.com]

Понятно. Я думал, что с "интересным" разберутся антивирусы, запущенные с ЦД, без дополнительной "ручной" работы.

Я тоже не спец по войне с заразой под винду. :)

[quest4sanity.livejournal.com]

Я запускал доктора веба с CD. Он тот ничего не нашел. Однако сидюк был не самой последней свежести. Может быть в этом дело. Но зато его запущенный уже после разблокировки CureIt был свежаком, и он тоже ничего не нашел.

Может быть Касперский бы с ним и справился, но я его не пробовал. В любом случае, скорость мутации вируса огромная. Еще бы, при таком финансировании. Torrents.ru закрыть - это пожалуйста, а прижать к ногтю интернет-вымогателей, это нам не нужно.