lieutenant2k (lieutenant2k) wrote,
lieutenant2k
lieutenant2k

Нет предела полету мысли человеческой

В данном случае речь пойдет о полете мысли творцов вирусов. Причина для выбора такой темы достаточно проста. Как обычно, знакомые мне передали ноутбук, на который был "подцеплен" вирус.

Начну, правда, немного с другого.


Уж сотни раз твердили миру пользователям, что не нужно скачивать файлы с неизвестных, странных, одним словом, "левых" ресурсов. Или хотя бы смотрели на то, что именно они скачали, перед тем, как открыть свежевыкачанный файл. Ведь уже не один десяток (а то и сотен) вирусов попал на компьютеры пользователей именно таким образом - маскируясь под нужный ему файл.

Собственно говоря, именно таким путем и оказался вирус на принесенном ноутбуке. Под видом интересной книги был скачан выполняемый файл, который после открытия и сделал свое черное дело.

Внешне вирус проявлялся следующим образом. Поселившись в системе, он "блокировал" просмотр веб-страниц в браузере. При попытке ввода любого нового адреса пользователь перенаправлялся на адрес mvd.ru, где видел следующее:



При этом (что не совсем понятно, особенно с учетом описанного дальше) остался работоспособным Скайп.

В общем, все понятно. Вирус из категории "локеров". Правда, последний раз я с таким сталкивался лет четыре-пять тому назад.

Начало лечения стандартное. Открываем Диспетчер задач, в списке процессов находим подозрительные. Параллельно с этим запускает Редактор реестра и в ветках HKLM\Software\Microsoft\Windows\CurrentVersion и HKCU\Software\Microsoft\Windows\CurrentVersion изучаем содержимое подразделов Run и RunOnce.

Вот и на сегодняшнем пациенте было обнаружено два "лишних" процесса. Один из них назывался audio32hd.exe и пытался замаскироваться под системный файл, ибо прятался в каталоге Windows. Название второго как-то не отложилось в памяти, но этот негодяй установил себя в каталог Program Files как обычную программу.

Удаление ключей реестра, удаление лишних файлов, перезагрузка, прогон антивирусом - в системе чисто. Запускаю браузер, вбиваю адрес - оп-па, все по-прежнему. Ни на какую страницу выйти не удается.

Проверяю файл hosts (его тоже часто любят модифицировать вирусы подобного типа) - нет, все нормально.
Но доступа в интернет нет.

Проблему в итоге удалось решить благодаря вот этому сайту.
Оказалось, что подцепленный вирус меняет настройки протокола TCP/IP, устанавливая в качестве основного DNS-сервера требуемый. В итоге все запросы отправляются на специальный сайт.

Пришлось пройтись по всем сетевым подключениям и исправить их настройки. В результате все заработало как надо.

Но вот почему не "отрубился" при всем этом Скайп?
Tags: вирусы, интернет
Subscribe

  • Этот день в истории

    Google информирует посетителей из Канады о том, что сегодня исполняется семьдесят два года со дня рождения Джима Вон Чу - канадского поэта и…

  • Этот день в истории

    Google информирует посетителей из ЮАР о том, что сегодня исполняется сто шестнадцать лет со дня рождения Хелен Джозеф - одной из самых влиятельных…

  • Всемирно известные хиты спустя годы ...

    Группа "Bee Gees" была основана в 1958 году тремя братьями - Барри Гиббом, Роббином Гиббом и Моррисом Гиббом. За время своего…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 4 comments