Приносят бухгалтерский системник: странно себя вёл, перестала
запускаться система. Снимаю винт, подключаю к своей машине. Чуть больше
гигабайта информации на единственном разделе — очень странно.
Осматриваю пострадавшего. В корне раздела только каталоги, никаких
признаков файлов. Все каталоги с меткой «скрытый», внутри обломки винды
и программ, большая часть файлов и каталогов скрыта.
Вспомнилась
бородатая шутка про удаление 95-й винды Проводником перед
форматированием раздела. Но на шутку не похоже — каталог с профилями
пользователей весит пять мегабайт, изуродована не только система, но и
каталоги с программами и пользовательскими файлами. Такого не смог бы
сотворить даже самый криворукий пользователь. Картину венчает
сиротливый каталог «Документы» с десятком файлов, у всех одинаковая
дата последней модификации. Смотрю удалённые файлы — полный набор того,
чего не хватает. Получается, кто-то резал винду живьём, не удосужившись
даже закрыть открытые документы? Или что-то?
Запускаю
восстановление и продолжаю заниматься своими делами. По окончании
смотрю в карантин — NOD отловил среди восстановленных файлов выводок
троянцев по фамилии «Kryptik.A**» (Каспером и Вебом опознаны как
Packed.Win32.Krap.w и Trojan.Packed.687). Среди «живых» файлов
обнаруживается ещё парочка модификаций троянца. Память подсказывает,
что этот троянец был замечен на компах, с которых «ушли» доступ к
WebMoney и банковскому счёту.
Из научного интереса решаю
исследовать поведение троянцев. Зверёк № 1 прописался в системе,
освоился, постучался в отключённую сеть и затих. Начинаю смотреть
второго. В этот момент меня отвлекает кто-то из коллег, и я запускаю
экзешник без контроля. Скрип винта и стремительно исчезающие каталоги.
Опа!
Когда винт затих, мне открылась знакомая картина — сильно
поредевший список «скрытых» каталогов. Ничего себе троянец!
Перезагружаю виртуальную машину, запускаю злодея — как и
предполагалось, он попытался удалить каждый файл на разделах, но
залезть в каталоги с ограниченными правами не смог.
Некоторое
время спустя я узнал, что с банковского счёта этой фирмы ушла
немаленькая сумма. Раньше девизом «бандитов с большой дороги» было
«Кошелёк или жизнь?» — теперь же не только грабят, но и убивают.
|
Всего: 60 
Новых за месяц: 0
Админов: 2
Модераторов: 1
Проверенных: 3
Простых пользователей: 54
Женщин: 4
