Сейчас я бегаю приходящим сисадмином по нескольким постоянным клиентам и можеству одноразовых. Человек, имеющий домашний комп, ясное дело, готов выложить 100+ грн только когда машина уже совсем или очень близка к этому. Поэтому, как правило, я приезжаю на полумёртвый комп, который надо как-нить поднимать. Очень, кстати, парадоксальное мышление тренирует ;). И вот, собсна, описание неимоверного противостояние меня и его - гадостной греццкой лошади…

Пригласил меня давний товарищ (Лёха под кодовым названием ХареКришна). Он начальник торгового отделения фирмы по продаже спецодежды. Как говорится, начиналось всё хорошо..
.
Лирика_000: Как правило, я ставлю сейчас клиентам AVG Free Edition (by Grisoft), у них оченно бодрые обновления, неоднократно доводилось ним подчищать систему и от касперских, и от НИСа (особенно от него! Сцукодраныйчаймойдан!!! Тупой, тяжелый, нипанятный, озу жрёт не меньше 100 метров, даже когда ничего не делает!!! Однажды только его сносом заработал 125грн – москвич с нобуком попался, в тырнет не мог выйти с мобла))). Приличную планку качества, по моему глубокому убеждению, ща нормально держит ещё НОД32. А этот, ко всему, ишшо и бесплатный... (так и хочется дописать - СЫР, но разумной бесплатной альтернативы я ему пока не нашёл)

Этот антивирь и раньше стоял на обоих Лёшиных машинах. Однако на одной, новой (№1), он типа работал, но на самом деле собсно служебный модуль службы был выгружен неясным пока способом. На второй (№2) были отключены постоянные проверки обновлений, и как я подозреваю, не без участия прямых конечностей пользователя (хоть удаляй их опционально, честное слово :D ). Итак, завязка - имеем две машины, бесстыдно чегойта кудайта отправляющие и принимающие через тырнет (и без того не быстрый, до 40кбпсов), издевательски помигивая сетевыми соединениями, полудохлый антивирь, дико тормозящие системы как результат. Для полноты картины – окно explorer’а открывалось минут по 3-5… В тырнет же выйти и вовсе неможливо, а провайдер при звонке в ТП убеждённо рассказывает, что весь наш канал забит, забит плотно, и давно.
Вводные получены, и я, как неипательский спец, торжественно запускаю №1, в котором…

Лирика_001: Каждый изучатель ХРи должен знать крайне удобные и полезные утилиты от SysInternals (Mark Russinovich). Контора эта работает под крылом MS, однако никаких траблов с их стороны до сих пор мною замечено не было, скорее наоборот. Вот список наших героев-программ: ProcessExplorer, Autoruns, RootkitRevealer, FileMon, RegMon. Ещё есть объединённая утилита ProcMon, однако она мне чем-то не нравится, и я её пока не использую в практической деятельности. Кратенька:
ProcessExplorer – очень удобный инструмент, заменяющий стандартный Task Manager, с широчайшими возможностями выяснить, кто там в системе ща бездельничает
Autoruns – что автостартует в системе (особенно полезен при выискивании неочевидных dll’ных «прибамбасов» для explorer’а)
RootkitRevealer – ваапще истериго! Вирус, который тут описывается, был пойман практически исключительно благодаря именно этой утилите. Суть её такова – роется в реестре и на диске, и отображает скрытые средствами WinAPI файлы и записи, а также несовпадающие данные.
Подробнее обо всём этом читайте на родном сайте с нетрудным адресом (релинк на MS) www.sysinternals.com. А к скачке рекомендую найти там SysInternals Suite – простой архив с подборкой полезных и постоянно обновлямых утилит (в нём и chm-справки по многим)

Level_000#1: … пытаюсь запустить службу антивиря – болт. Пишет: «неопределённая ошибка». Ага. Запускаем ProcExplorer, видим, что все(!) неавтостартующие пользовательские процессы запущены из-под сранного файла с крайне редким именем “spool.exe”. ГЫ! Пробую запустить cmd, сначала грузит етот спул, потом из-под него уже цмд. Ага! Выбиваем из оперативы все процессы с этим именем (что характерно, типо дочерние процессы, т.е. исходно запущенные программы, не вылетают; это симптоматично для понимания дальнейшего). Прекрасно! Принтер-зомби уничтожен! Но что же это?! … Служба антивиря всё равно стартовать не желаит. Коррупт, мать его етить. В истории системных сообщений есть только «служба неожиданно вывалилась и валяецца». Как тут не вспомнить башорг – «Почемууу, почемууууу не случился наш евент?! Патамушта метод обломааааался»…
Лана, антивирь переустанавливаем. Запускаем. Не стартует. БЛЯЯЯ. Однако есть бонус – он может проверять и без своего сервиса, просто как программа. Запускаю проверку системых папок. … … … ~50 червякофф, лошадей и пр. Почти все разные! Редкий мне кадр попался.

Level_001#1: В голове начинает шевелиться мыслишка, что это «ж-ж-ж» неспроста. Тут хищник потолще сидит, под лошадей мирных косит. Дождался конца проверки, все файлы не лечатся – удалены. Пошел курить бамбук, думу думать. Пока курил, надумал – ето ж наверняка в системе вирусокачалка сидит, а всё пойманное – так, мелюзга. Перегружаюсь в безопаснике, запускаю Autoruns, смотрю, чего там у нас. А там ойойойой скока всего, к системе в принципе не относящееся. И спул етот драный, и ишшо куча всякой х@еты. Особенно порадовало присутствие вечнозелёных Mail.ru Agent’ов, Google Toolbar’ов и ICQ Toolbar’ов. По моему мнению, они и есть основные дыры в безопастности, я их всегда сношу в превую очередь, ещё до первых проверок системы. А потом ставлю скриптик, который их автоматически вырубает из системы при каждой загрузке. Блядомудские хуетилиты, сцуко! Ненавижу. Отключаю всё, что хоть немного мне незнакомо, на всякий.
Level_002#1: Возвращаюсь в номальный сеанс. Надо сказать, что саму систему ставил я же, поэтому нависать не на кого, сижу – бубню – ругаюсь. И вот момент истины – запускаю RootkitRevealer, он находит (первые две записи с текстом “HKLM\SECURITY\Policy\Secrets\SAC*” и “HKLM\SECURITY\Policy\Secrets\SAI*” – это нормально) три записи “HKLM\SYSTEM\ControlSet00(1-3)\Enum\Root\LEGACY_KVBJ53\” -> Hidden from WinAPI. Агаааааа.аа.ааа. Имя драйвера, ясный пень, автоматом генерённое. Кроме того, потом идёт проверка доступности к файлам на винте, и там обнаруживается такой себе “c:\windows\system32\drivers\Kvbj53.sys”, который “access denied” ваапще. Т.е. совсем. Не виден. И антивирь его тож не видит. Все честные дрова видны, а етот прячецца и в итоге палицца ;)

Лирика_002: А вот ревеалер как-то палит. Думаю, он напрямую с базой NTFS связывается, а потом только реальную доступность проверяет. В пользу этого предположения говорят следующие моменты:
1. При запуске утилиты стартует новый сервис с произвольным именем (он у меня и как C.exe был, и как DLKJFLKSDF.exe обнаруживался, только ярлычок самой программы не меняется)
2. Больше никак невидимые файлы не обнаружить! :-D
Это похоже на ситуацию с потоками NTFS вида “c:\file.txt:virus.exe”. Очень порадовался как-то, когда нашел подобную хню на диске; а увидел я это, когда сносил какой-то новый вирус с машины, и палил FileMon’ом, куда он на винте обращается, когда я его вырубаю из оперативы.

Лана, метод ясен – грузимся с ERDCommander’a 2007 ed., подключаемся к реестру, выкусываем оттель указанные записи, перегружаемся, стартуем антивирем и полная проверка компа по веникам. К исполнению!

Level_003#1: Ага, ЩАС. Он ваапще на стадии инициализации устройств грузиться отказался. Кратенький BSOD, и перегруз. БЛЯЯЯЯЯ. Это уже примерно второй час работы заканчивается. НО! Становится понятна метода – вирусня делает вид, что она устройство, которое надо запустить при загрузке, ишшо до запуска любых приложений, в том числе и антивиря. Отличная идея как для вируса, однако меня эта новая инфа воопще не радует. Снова грузимсо под ERDCommander’ом, находим где прописано устройство под простеньким именем ClassGUID «8ECC055D-047F-11D1-A537-0000F8753ED1» (я ж типо умный, перед тем как ранее снести записи в реестре, экспортировал на всякий для потом почитать), сносим и его.
Оп-па! Всё заработало! Запуск антивиря, и он-таки находит Kvbj53.sys, пишет про него что-то вроде “Generic troyan downloader 10.CHO”. Т.е. зверь науке ишшо практически неизвестный, к тому же, оченно красиво реализована метода углупления в систему.

LEVEL_000-3#2 Процедур аналогичный, только покороче во времени, потому как дорожка проторена. Аналог того же виря, тока он имя там прописал чойта вроде “jddb40.sys”. Короче, автоген, чтоб по имени не нашли.

Итоги падведём: Он sys этот грузит как драйвер устройства не PnP. Точнее даже не так – вирь изначально симулирует обнаружение нового не-PnP устройства, после чего в виде Legacy Driver предлагает собсно само тело вируса. Остается нерешённым один, но самый интересный вопрос – КАК ЭТО ПАДЛО В СИСТЕМУ ПРОЛЕЗЛО?! Заплатки на системе стояли по конец 2007 года, WinXP ZverCD edition версия вроде из первых 8к. Нипаняяятнааа…

P.S. Надо сказать, что буквально недели три назад я в аналогичной ситуации, как я ща понимаю, вглубь лезть не стал, а просто снёс нах систему да и переустановил её. С удалением разделов, шоб наверняка. Гемора, в общем, было не меньше.