Ошибка резидента

resident Только что напряженное недельное расследование увенчалось успехом. Резидент был пойман, изучен и без дальнейших проволочек уничтожен. Какой такой резидент? Сейчас расскажу.

Неделю тому назад после очередной перезагрузки компа, товарищ Зон Аларм, ответственный за огонь на стенах, доложил, что некий гражданин по фамилии IEXPLORE.EXE ходатайствует о доступе в интернет. Подозрение вызвал тот факт, что известный ослик IE за месяц до этого был мною отправлен в отставку за несоответствие служебному положению на должности главного браузера системы. На это место был принят молодой и подающий большие надежды товарищ Мозилл Огнелис. Таким образом, IE никак не мог проситься в сеть, тем более что у него был бессрочный пропуск, и он не нуждался в дополнительном разрешении.

Дальнейшая разработка показала, что указанный гражданин IEXPLORE.EXE проживает по странному адресу «C:\WINXP\Prefetch» вместо обычного «C:\Program Files\Internet Explorer». За гражданином установили слежку и, конечно же, обнаружили, что он не имеет никакого отношения к славному, несмотря на старческие закидоны, ослику. Гражданин лишь прикрывался прославленной фамилией.

На ковер тут же был вызван официальный менеджер, отвечающий за учет задач, который показал, что никакого IEXPLORE.EXE нет и в помине. Это лишь усилило подозрения. Зная о возможности современной заразы игнорировать официального менеджера, я обратился к услугам знаменитого Командора. Вернее даже не к нему самому, а к одному из его подключаемых приятелей, который мне и предоставил полный список всей активной на тот момент резидентуры. И, конечно же, IEXPLORE.EXE там был. Не мешкая, мы с Командором пресекли его активность, что позволило секретной службе «Shift-Del» спокойно и без помех избавиться от тела.

Со вздохом облегчения я перегрузил машину. И был неприятно удивлен донесением Зон Аларма — воскресший IEXPLORE.EXE снова просится в сеть. Правда, место проживания сменилось на «C:\WINXP\MUI». Деактивация, контрольный выстрел «Shift-Del», перезагрузка — настырный IEXPLORE.EXE воскресает и начинает безобразничать. Опыты показали, что после очередного уничтожения и перезагрузки мерзавец воскресает, как ни в чем не бывало, прописывается в случайно выбранной папке системной директории и оттуда пытается выйти на связь со своими забугорными хозяевами.

Дальнейшее тщательное расследование в системном реестре и в файлах не позволило выявить пароли и явки вирусной резидентуры. Всезнайка Гугель также ничем помочь не смог. Пришлось поступиться гордостью и обратиться за помощью к нескольким известным охотникам за бациллами. Итак, были приглашены: индеец Адавар, испанец китайского происхождения Бамбуковый Медведь, престарелый доктор Уэб и печально известный своей прожорливостью и воспаленным воображением лаборант Касперский.

Индеец тут же связался с духами предков через портал Мягкой Лавы, получил от них пару мегабайт мудрых советов, попрыгал несколько часов вокруг костра, но так ничего и не нашел кроме нескольких отравленных, по его словам, кусков печенья.

Бамбуковый Медведь попросил отправить тело резидента по адресу одной прачечной в китайском квартале Барселоны, где после вскрытия удалось установить настоящее имя заразы — некий «Bck/Hupigon.AHF». После этого Бамбуковый Медведь заявил, что всего за 8.99 убитых енотов в месяц будет лечить мой компьютер от этого самого «Bck/Hupigon.AHF». На вопрос, сколько всего месяцев ему понадобится на вылечивание, честно ответил, что готов хоть всю жизнь этим заниматься, лишь бы избавить машину от заразы. Кстати, встречная проверка показала, что наш IEXPLORE.EXE совсем не «Bck/Hupigon.AHF». И Бамбуковый Медведь отправился за индейцем Адаваром в страну вечной охоты.

Доктор Уэб, посмотрев на мои методы общения с шарлатанами, сказал, что в такой нервной обстановке он работать не может и по-быстрому самоустранился.

Лишь лаборант Касперский остался верен самому себе и делу антивирусов доледникового периода. Уже через пятнадцать минут он откуда-то притащил в кровь избитый инсталл-пакет какой-то богом забытой утилитки. Плотоядно улыбаясь, лаборант сунул мне подписанное утилиткой признание собственной вины в ведении подрывной и троянской деятельности под именем IEXPLORE.EXE, растлении малолетней Пэрис Хилтон и убийстве Кеннеди. Только я закончил читать, лаборант резким движением свернул шею утилитке. Не переставая мерзко ухмыляться, Касперский потребовал за свои услуги 39 у.е.

Мне стало ясно, что надеяться снова придется только на себя. Снова начались бесплодные допросы ответственного софта и многочасовые поиски в системном реестре. Ничего не помогало. Оставалось лишь прекратить бессмысленные метания и начать думать. Что я, хоть и не без труда, но сделал.

Результаты не заставили себя ждать. В мозгу промелькнула счастливая мысль, и я помчался к Командору. Уже через пару секунд я знал, что по адресу «C:\WINXP\system32\» тихо проживает некий неприметный directx.exe, дата рождения которого СОВПАДАЕТ с датой рождения всех воскресших IEXPLORE.EXE. Слежка установила, что совпадает не только эта дата, но и вес негодяев! Кроме того, был обнаружен сервис, соответствующий directx.exe и запускающийся при старте системы, а потом, для отвода глаз, сам себя останавливающий.

Незамедлительно по адресу directx.exe была вызвана служба «Shift-Del». Заодно избавились и от очередной инкарнации IEXPLORE.EXE.

Перезагрузка. Проверка. Ура! Все чисто! Троянский резидент, просчитавшийся с датой своего рождения, был уничтожен.

Написать комментарий