Палец в попе

1 Фев
2012

Небольшая история, о том, как я поймал трояна…
Поймал зловреда впервые за последние 3 года
И это все при установленном лицензионном KIS 2011

Дело было так…
Стоял морозный январский день. Я как обычно сидел перед монитором и тыкал компьютерную мышку указательным пальцем правой руки…
Вбил запрос в Яндекс, перешел по ссылке, и начал читать информацию.
Неожиданно Касперский выдает предупреждение, о том, что он блокирует вредоносный файл.
Не обращаю внимания. Раз нашел и заблокировал, значит все в порядке… и можно продолжать читать
Но тут, компьютер на минуту задумывается и… начинает перезагружаться…

Паника! Алярм! Упячка!
Вешайте обезьян, стреляйте бедуинов
Мы все умрем и нас не спасти…

Первым делом выдергиваю кабель интернета.
Компьютер перезагружается…

Смотрю за работой компьютера.
Ведет себя он странно. Касперский сильно тормозит, и ничего больше не сообщает.
Запускаю быструю проверку каспера.

Иду курить… думаю…

Понимаю, что поймал гадость
Включаю ноутбук, скачиваю Kaspersky Virus Removal Tool, копирую на комп, запускаю сканирование.
Результат нулевой.

Качаю Dr.Web CureIt!, сканирую…аналогично, — вирусов нет.
Запускаю полную проверку Касперского, он находит 2 зараженных файла UDS:DangerousObject.Multi.Generic (неизвестная угроза опасность высокая), помещает их на карантин, но вылечить или удалить не может.

Впадаю в отчаяние. Иду еще раз курить, завариваю кофе…

Пытаюсь вспомнить какие программы были запущены в момент атаки.

2 наиболее уязвимых места в моей системе это Filezilla, которая хранит доступы более чем от 20 сайтов и Opera, которая помнит несколько сотен паролей.

Filezilla находится в зашифрованном разделе (шифрование с помощью TrueCrypt), а в Opera установлен сложный мастер пароль на 20 символов.

Да. Да. Я знаю, что это неправильно. Я знаю, что пароли нужно хранить в голове или в блокноте, или использовать Keepass…
Но мы сейчас не об этом…


Вспоминаю, что в момент атаки была запущена Opera, a Filezilla была неактивной и диск не был смонтирован.
Даже, если троян успел вытащить пароли, отослать он их все равно не успел.

Одной проблемой меньше…

Думаю, как вылечить
Снова сажусь за ноутбук, начинаю гуглить…

Натыкаюсь на Malwarebytes anti-malware

Качаю, сканирую…
Нахожу 4 трояна
Trojan.Win32.Qhost.aavv
Trojan.Win32.VkHost.tyg
Exploit.Java.CVE-2011-3544.bt
HackTool.Win32.Kiser.ask

Благополучно удаляю.
Удаляю временные файлы, чищу корзину, проверяю реест на целостность.
Все в порядке. Все нормально.

Выдыхаю… и иду курить…

===============

Анализируя полученную информацию, понимаю, что 2 трояна у меня сидели в системе уже давно. Но вреда не нанесли, так как файл .host был без изменений

HackTool.Win32.Kiser.ask «западный» троян и меня не касается, потому что воровать у меня нечего…

а вот Exploit.Java.CVE-2011-3544 как раз таки и есть, тот зловред, который устроил весь переполох…

и все из-за того, что стояла старая версия java

В итоге имеем:


6 часов потраченного времени
сотни мертвых нервных клеток
+ 1 полезная программа на компе
+ 4 вылеченных трояна

Вывод:


Последние 3 года пользуюсь каспером, сижу и в ус не дую… и за это время успел порядок «расслабиться»…
В итоге, после того, как мене вставили палец в попу, я осознал и исправился.
И теперь думаю о реорганизации и о перестановке в моей системе…
Все. На сим кончаю. Прощаюсь и кланяюсь. Ваш WebTimmy

PS

Сайт, с которого поймал трояна это офф сайт Примоского района, Петербурга.
После того как все вылечил, зашел на их сайт, и не нашел угрозы. Видимо уже почистили.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх