Багами по вирусам
АрхивReaditorialПопросили помочь знакомой с лечением вируса. Это был интересный случай: очередной вирус просящий активацию через смс, но в это раз достаточно умный, чтобы блокировать любые попытки перейти в систему или закрыть себя
Попросили помочь знакомой с лечением вируса. Это был интересный случай: очередной вирус просящий активацию через смс, но в это раз достаточно умный, чтобы блокировать любые попытки перейти в систему или закрыть себя. Впрочем, позже оказалось, что все еще намного интересней... но вначале я этого не знал и думал, что это просто очень хорошо продуманная программа.
Итак, почти все клавиши заблокированы. Попытки свернуть все окна, вызвать диспетчер задач или меню "Пуск" были без результатны. Второго компьютера не было под рукой, чтобы подключить этот. Live CD с антивирусником отсутствовал, с собой был только паппилинукс, но без антивирусника на нем.
Первое действие было зайти в линукс и попробовать по дате определить вирус в папочке system32, к сожалению пользователь несколько раз уже сбрасывал биос, соответственно найти там самый старый файл было не возможно помойка состояла из всех возможных дат.
Вторая идея была создать в папочке главного меню/автозагрузка небольшой батник в которым бы вызывался cmd - вирус не дал обработать файлы оттуда. Уже хотел снимать винчестер и сказать что придется потерпеть до завтра, но потом пришла новая идея:
вирус разрешал два сочетания клавиш:
Win + L (блокировка)
Win + U (вызов экранной лупы)
Блокировка в данном случае была безполезна - была бы сеть с доменами с правильной политикой безопасности оно бы пригодилось, но тут домашний комп - пришлось использовать "лупу". В этом диалоге (как и в многих виндовых диалогов) можно было вызвать справку по данному диалоговому окну. А из вызваной справки можно попасть в "Главную справку" если нажать в контекстном меню кнопочку "домой".
Дальше уже дело техники: осталось только воспользоваться интересным "багом", впрочем майкрософт уверяет что это "фича", а именно возможностью выполнить любую программу из справки. Первым делом я вызвал msconfig и убедился что вирус не является ни службой, ни отдельной программой из автозагрузки. Затем вызвал cmd из которого через tasklist я и узнал что вирус не отдельная прога, а вживленный кусок кода в шелл.
К сожалению предоставленными средствами sdk от майкрософт подобное может сделать любой хакер недоучка. Впрочем мне опять повезло у пользователя не только не было отключено разрешение на выполнения программ из справки (по умолчанию включено и выключается только через групповую политику), но и система востановления, так что дальше оставалось только вызвать эту систему и откатиться в "будущее". Винду не смутило, что я находясь в 2005 году, восстановил точку из июня 2009 года.
Конечно, даже если бы точка восстановления была отключена через справку виндоуз можно выполнить cmd, а значит любую программу. Надеюсь кому то это поможет сэкономить нервы и время.
