Троя должна знать.
Холивара не будет.
Причина проста - дураки и дороги. Ну, о дорогах как-нибудь в следующий раз, а пока - о дураках. Судя по количеству скачанных с торрентов копий дистрибутива сборки от группировки X-Team, я уже не удивляюсь тому, что британцы и американцы побеждают нас в информационной войне. Также не удивляюсь, почему Мелкософт как-то не особо озабочен многочисленными нарушениями своих авторских прав в России. Когда-то находкой для шпиона был болтун, теперь - ставшая традиционной любовь к халяве.
Холивара не будет. Мы уже проиграли, скачав халявную операционку. А ведь достаточно всего лишь прогнать ее через пару-тройку антивирусов, и смысл навязчивой рекламы, развешанной по всей сети, становится очевиден: ребята-изобретатели, сотворившие такую чудесную сборку, которая и устанавливается сама без лишних вопросов, и радует глаз романтическим интерфейсом, и имеет в комплекте драйвера на любое железо, старались не для Вас. И не надо удивляться, когда в самый неожиданный момент при загрузке системы всплывет Винлокер, требующий отослать СМС стоимостью 500 рублей, или веб-кошелек внезапно опустеет, или к вам пожалуют с обыском какие-нибудь органы, утверждающие, что Ваш компьютер участвовал в ограблении банка. Ну, а если Вы, скажем, работник банка, крупный чиновник или сотрудник тех самых органов, то Вам недолго осталось нести свои служебные обязанности. Служба безопасности, поверьте, ест свой хлеб не зря.
Однако, не хочется быть голословным, а потому я представляю Вам наглядные свидетельства злого умысла. Парад-алле начинает Avira Antivir Personal. Пробежав по папкам запущенного на виртуальном DVD-Rom образа WindowsXP SP3 X-TEAM Group 2009-9 Enterprise Sail Edition Full, он обнаружил 69 угроз.
Среди невинных патчей и хактулз (программ взлома операционки и лицензионнного софта), всплыли такие знаменитости, как: SPR/PSW.RAS.A.2 (также известный, как Trojan.Win32.Genome.dhzk) и TR/Crypt.XPACK.Gen3 (известный как Trojan.Win32.Menti.fod). Ну и еще куча троянов и шпионских модулей. Мое сердце ликовало при каждом писке сканера, извещающего об очередной находке.
Вторым на очереди на роль экзекутора был портированный Emsisoft Emergency Kit Scanner. На сей раз улов был значительно большим - 104 файла оказались с изъяном.
Особый интерес у меня вызвал флэшечный "путешественник" Packed.Win32.Klone!IK (более известный как Trojan-Downloader.Win32.AutoIt.fn) и баннер-оповещатель о том, что компьютер заражен - Trojan-Downloader.Win32.Renos!IK (Trojan-Downloader.Win32.FraudLoad.vkbk).
Проверять дальше образ было уже не интересно, но на всякий случай я запустил Dr.Web CureIT. Результат меня поверг в ужас: этот достославный сканер не обнаружил ничего! Хотя может все дело было в уровне проверки архивов, задай я ему глубину 20 уровней, как Авире, и он бы наеврняка меня порадовал! Но настройки я - увы - не трогал.
А вот после установки сборки на виртуальную машину (VirtualBox-3.2.10, если кого интересует) CureIT отыскал-таки одного-единственного зверька - ProduKey.exe (PSWTool.Win32.ProductKey.a). С виду совершенно безвредного, но учитывая вышеописанные программы для удаленного администрирования, способного доставить прямо в руки авторам сборки все лицензионные ключи всех программ Вашего компьютера и Вашей сети.
Кстати сказать, изобретатели сборки порезали систему лихо, не задумываясь о возможных нюансах установки. К примеру, если Вы все же надумаете ставить ее, то ни в коем случае не вешайте на один IDE-шлейф винчестер и DVD-привод! Иначе Вас ждут шаловливые BSODы. Так было у меня при попытке установить систему на старенький IDE-винт. Ничего не поделаешь, на новых материнках только один контроллер, и у меня на нем висит привод. Я даже обеспокоился за здоровье винта, но диск с линцензионной XP SP2 вернул мне благостное расположение духа.
Впрочем, установленную систему можно было уже и не проверять - все инструменты удаленного управления разобраны на части, тщательно запакованы и ждут своего часа. Определить и идентифицировать их никакому антивирусу не под силу. К тому же, обычно свистопляска с заражениями начинается, как только Вы подключитесь к интернету.
Проверять, как все это скрипит, вращает шестеренками и подтягивает из сети прочий нехитрый инструмент взломщика, мне было недосуг - ведь на очереди проверка ZverCD. Тоже старенького дистрибутива двухлетней давности. Если у кого возникнет желание, могу выслать логи сканирования, однако, думаю, лучше научиться все делать самим.
И напоследок обращаю Ваше внимание на один момент: версия, проверенная мной, гуляет по сети уже более полутора лет, а некоторые вредоносные коды, использованные в ней, пополнили вирусные базы буквально в этом 2011 году. Пользуясь новыми версиями поделок от X-TEAM, не ждите, что антивирусы отреагируют адекватно. Все-таки вирусописатели всегда были и останутся на шаг впереди. Но в одном будьте уверены наверняка - пока вы читаете эту заметку, Ваш компьютер валит DDoSом чей-то сайт, или спамит E-mailы, или грабит банк. А вы все удивляетесь, отчего интернет такой медленный...
* я также обратил внимание в прошлой заметке, что сайтик распространителей этого г... хостится в Британии...ничего личного, но именно из Британии ползет на славян всякая нечисть, а Пиндогон с НАТО - всего лишь цепные псы на службе лордов и банкиров...