Как сделал то, что, кажется, вирус, входят в мой компьютер? (объяснение включенной ситуации)
Моей системой является Windows XP SP3, обновленный с последними патчами.
ПК подключен к маршрутизатору Cisco 877 ADSL, который делает NAT от внутренней сети до ее единственного статического общедоступного IP-адреса. Нет никаких переданных портов, и к консоли управления маршрутизатора можно только получить доступ с внутренней части.
Я делал две вещи: работа над удаленной офисной машиной через VPN и просмотр некоторых веб-страниц на веб-сайте Cisco.
Удаленная сеть абсолютно безопасна (это - лабораторная сеть, четыре виртуальных сервера, никакие публично доступные сервисы и никакие пользователи вообще; также, ни одного из того, что я собираюсь описать когда-либо, не происходило там).
Веб-сайт Cisco... хорошо, я предполагаю, довольно безопасно, также.
Внезапно, что-то произошло.
Странные всплывающие окна появляются где угодно; программы требуя они - "антивирус", "антишпион" и таким образом, на начинает автоустанавливать; поддельные значки Windows Update и Security Center открываются в системном лотке. svchost.exe начал отказывать неоднократно. Затем наконец, после нескольких минут этого... BSOD.
И, после перезагрузки, BSOD снова. Даже в безопасном режиме.
Хорошо, это было, очевидно, некоторым virus/trojan/whatever. Я должен был установить новую копию Windows на другом разделе для чистки вещей. Я нашел странные исполняемые файлы, сервисы и DLLs почти где угодно. Среди других вещей были заменены user32.dll и ndis.sys. Поддельное программное обеспечение вызвало "Врача Антивируса", был установлен. Были сервисы с абсолютно случайными именами или даже GUID (!) и также под названием "IpSect" и "Темнота". Были исполняемые файлы без .exe расширения. Было даже два драйвера класса начальной загрузки, которые я совершенно уверен, те, которые наконец заставили систему отказывать.
Истинная резня.
Хорошо, теперь вопросы:
- Что, черт возьми, было этим?!? Это было что-то большее чем простой вирус!
- Как этому удавалось напасть на мой компьютер, как я нахожусь позади брандмауэра и не делал ничего даже только потенциально вредного в сети в то время?
2 ответа
Похож на него, был "Neprodoor": http://www.prevx.com/blog/115/Neprodoor-flies-beyond-the-radar.html
Мне удалось убрать почти все путем работы от новой установки Windows над другим диском..., но тот зверь установил буквально десятки вредоносного программного обеспечения в системе, и у меня все еще было Обновление разбитых окон (как a hosts перенаправление, но файл hosts было пусто), и некоторые сайты рекламы, открывающиеся время от времени.
Я закончил тем, что форматировал и переустановил... не мог больше доверять системе. О, ну, в общем, пришло время переместиться в Windows 7 :-)
Но я все еще не знаю, как это входило...?!?
Это звучит в точности как проблема, которую я недавно имел с Антишпионом XP, основанное на Java использование, которое выключает Ваш брандмауэр и антивирус, утверждает, что обнаружило сотни заражения вирусами, добавляет поддельные значки центра обеспечения безопасности к панели задач и предотвращает запуск .exe программ так, чтобы Вы не могли запустить программное обеспечение антивируса.
Существует фиксация, но необходимо знать то, что Вы делаете - не очевидный - и запускаете немного скрипта на реестре для уничтожения .exe блокировщика, или это просто продолжает возвращаться. Затем необходимо избавиться от плохого плагина Java в браузере.
Считайте все об этом в: http://lifehacker.com/5499124/how-to-remove-xp-antispyware. Это было спасителем для меня. Я очень осторожен относительно вирусов и т.д. и был удачлив до сих пор, но этот был на машине, прежде чем я понял то, что произошло. Я все еще не знаю, где я взял его.