Общие вопросы безопасности
-
Raven
- Бородатый сис
- Сообщения: 2800
- Зарегистрирован: 03 мар 2010, 15:12
- ОС: RHEL 8
- Откуда: Из серверной
Сообщение
Raven » 14 окт 2010, 13:52
Попалась мне сегодня флешка, старенькая, всего на 32мб... Принесла мне ее наша сотрудница из бухгалтерии, попросила починить, мол отчетность возить в налоговую на ней будет как раз, сказала флешка гробит все компы с которыми сталкивается, наверное мол что-то со штеккерной частью, поскольку в системе она тоже не отображалась. Подрубаю я ее к своему компу, флешка определилась замечательно, зашел туда а там autorun.inf сидит и лыбится весь такой довольный. Открыл я его, посмотрел путь к exe-шнику, который шел в RECYCLER\S-2-9-32-94685248-328964571642-1568497532-9r7a, убедился что он там, ну и грохнул всю папку вместе с автораном, да отдал ей флешку со спокойной душой. Чуть погодя пишет она мне значит по Випресс-чату, мол а папочки .Trash и .Trash-000 можно грохать или нет (у нее на рвбочей тачке стоит Linux, а я оказывается забыл убрать галочку разрешающую просмотр скрытых файлов). Отвечаю что запросто, это же корзина, на что получаю ответ, что папки она грохнула, но вместо двух тех папок возникла папка .Trash-001... Советую ей удалить ее тоже, на что она отвечает, что теперь папка называется .Trash-002... В состоянии полного непонимания прихожу к ней, пробую грохать папку - появляется .Trash-003... Тут меня пробрало любопытство заглянуть внутрь (может там какие-нить системные файлы лежат, не удаляемые под простым пользователем. Каково же было мое удивление, когда я там увидел... папочку S-2-9-32-94685248-328964571642-1568497532-9r7a... Зачесались руки форматнуть флеху к @ням, но любопытство взяло верх. На этом компе также располагается наш офисный дистроархив, поэтому на нем стоит Clamav, для регулярной проверки дистров на предмет появления всяких там засранцев. Запустил я значит его проверить флеху - в папке .Trash-003 тут же нашел червя Win32.HLLW.Shadow.based... Причем эта сволочь получается умеет защищаться даже под *nix-системами, таким вот интересным способом. Хотя перед командой выполненной от рута он все же не устоял, но что если бы бухгалтер не принесла бы флешку мне, не подрубила бы потом к своему компу (на который я только пару дней назад поставил Simply), а подрубила бы к какой-нибудь виндовой машине? Думаю я бы оочень огорчился, поскольку как мне рассказал гугл, синонимы у червя такие:
- W32.Downadup
- Win32.HLLW.Autoruner.5555
- Worm:Win32/Conficker
- Net-Worm.Win32.Kido
Вот собственно с чего и назрело желание поговорить о червях и способах борьбы с ними, и как наверное самая низшая ступень первыми под прицел попадают автораны...
Я не злопамятный, я просто часто ковыряю логи
Raven