Wpadłem ostatnio do znajomych i ich syn powiedział mi że ich komputer się od wczoraj nie uruchamia. Zaczął mi opowiadać o problemach z dyskiem twardym, więc powiedziałem że być może dysk nawalił i że być może utracili dane z tego dysku.
Uruchomiłem komputer, a ten się jednak uruchomił, system Windows 7 (edycja "home"), zgłosił problemy z dyskiem oraz że będzie odzyskiwał poprzedni stan systemu gdy jeszcze działał (i że jest to operacja nieodwracalna). Wykonałem wszystkie kroki tego procesu co nie było pozbawione radości, bo Windows 7 co chwilę zaskakiwał nas wyszukanymi tekstami:
Niestety wykonane zdjęcia systemu Windows 7 na razie są nie do odzyskania (więcej)
Teksty wyznaczające nową jakość polskiego słownictwa informatycznego typu "wejcie" i "wyjcie" (poprawnie powinno być wejście i wyjście), przypominają mi stare czasy Windows 95 i 98, które również w kłopotliwych sytuacjach popisywały się swym językiem, który kiedyś mój kolega określił mianem
afrykańsko-polskiego. Nawet w tamtych czasach jedno z pism komputerowych 1 kwietnia zażartowało sobie, że doszło do spotkania Billa Gatesa z
profesorem Janem Midkiem, aby wreszcie oprogramowanie Microsoftu zaczęło do nas mówić po polsku, a nie afrykańsku.
Co za czasy, znów się cofamy: Windows 7 tak jak Windows 9x mówi do nas językiem przodków Billa, a Microsoft Office 2008 tak jak jego wersja z lat 90 znów nie działają, nawet pomimo reklam w stylu "Madzia łać" - co za firma, wciąż musi się reklamować, że jej produkty w ogóle działają :(
Po restarcie systemu wszedłem do setupa, aby sprawdzić co się dzieje z dyskiem oraz płytą główną, tam wszystko było ok. Pocieszyłem ich, że być może z dyskiem nie jest tak źle.
Po restarcie system ten o dziwo się uruchomił, gdy ujrzałem poprawny pulpit z tapetą, powiedziałem że możemy odetchnąć z ulgą, dysk na razie jako tako się trzyma. Wtedy syn zwrócił moją uwagę na to, że ich program antywirusowy (Kaspersky) wskazuje na zagrożenie systemu, to mnie zmartwiło i moje myśli skierowało w zupełnie innym kierunku...
Kliknąłem w informację, a ten podał że system jest zagrożony, rozpocząłem skanowanie sytemu, a ten poinformował że mamy 2 wirusy oraz 2 rootkity - O! no to i mamy powód problemów - z dyskiem twardym wszystko jest jednak ok.
Walka o wolność systemu
Program rozpoczął usuwanie malware'u, wirusy szybko usunął, ale rozpoczął walkę z rootkitami. Pasek postępu przesuwał się dość szybko, doszedł aż do 90-ciu kilku procent co oceniłem za bardzo dobry wynik, gdyż w walce z tego typu zagrożeniem programy antywirusowe są właściwe bezbronne i stało się... komp się zawiesił...
Jądro jeszcze reagowało, ale nic zrobić się już nie dało...
Po restarcie ponownie rozpocząłem skanowanie, pomimo wcześniejszej porażki, uznałem że po wcześniejszym (wstępnym) usunięciu innych zagrożeń, być może coś się uda. I faktycznie tym razem system się nie zawiesił, program usunął wszystkie wirusy oraz jednego rootkita, drugi pozostał w systemie :(
I nic dziwnego pod tym względem zagrożenie jakie stanową rootkity jest takie, że usunięcie ich z systemu jest niemożliwe, gdyż mogą one być wyposażone w wiele mechanizmów ochronnych oraz sposobów ukrywania się przed programami antywirusowymi - to kompletnie nierówna walka. I tak było tym razem program poddał się przy usuwaniu ostatniego, niestety nadal aktywnego i niebezpiecznego malware'u.
Podjąłem kilka prostych prób zdiagnozowania problemu np. program Kaspersky wskazał mi źródło zagrożenia, co potem okazało się niezwykle ważne. Był to program instalacyjny, znajdujący się w katalogu Internet Explorera, a w swojej nazwie miał PDF - stary numer !;)
Plików tych już w tej lokalizacji nie było, albo ze względu na to, że program antywirusowy usunął źródło problemu albo dlatego że rootkit plik ukrywał.
Podłubałem trochę w systemie i wypaliłem płytkę z dystrybucją linuksa, mając nadzieję, że rootkity są inteligentne, ale nie na tyle aby móc uniemożliwić wypalenie lub zainfekować plik ISO - co swoją drogą byłoby perfidne, rootkit wmontowany w system Linuks :P
Do tego czasu rootkit nie tracił czasu, ściągnął i uruchomił sobie braciszka, okazało się że w systemie znów są dwa rootkity ! To ważny powód do tego aby nie uruchamiać systemów Windows, które są tak poważnie zainfekowane, po pierwsze mogą się infekować jeszcze bardziej, a po drugie mogą wykonywać wiele nielegalnych operacji, których nie chcielibyśmy gościć w swoich domach.
W najgorszym przypadku może zawitać do nas policja, a znając ich metody może to być wyjątkowo nieprzyjemne, o czym pisałem w poście
Ofiary ataków internetowych – bójcie się !.
Rozpocząłem ponowne usuwanie agresorów z systemu, co zakończyło się tym samym rezultatem, 2:1 dla rootkita.
Uruchomiłem system Linuks z płytki (tzw. Live CD), zamontowałem partycję C:\ zawierającą system Windows 7 i rozpocząłem poszukiwania, plików oczywiście w podanych lokalizacjach nie znalazłem. Programy instalacyjne pewnie usunął antywirus, a reszta syfu siedziała już zainstalowana w systemie Windows.
Usuwanie malware'u w takich warunkach jest teoretycznie bardzo łatwe, gdyż zainfekowany system Windows może być pod wpływem rootkita i nie wyświetlać plików faktycznie przechowujących wroga lub blokujący jego usunięcie. Jednak gdy mamy uruchomionego Linuksa to system Windows oraz rootkit nie działają, czyli mamy dostęp do wszystkiego tego co miało być chowane i chronione przed usunięciem.
Te kroki się powiodły, co prawda odradzam robienie czegoś podobnego przez osoby, które nie znają się na budowie, strukturze i bezpieczeństwie Windows, gdyż w takich warunkach całkowite unieruchomienie i uszkodzenie systemu (dowolnego do którego mamy tak specyficzny dostęp) jest bardzo realne.
Po uruchomieniu systemu Windows, okazało się że wszystko jest ok, jednak program antywirusowy nadal twierdził, że system jest zainfekowany, ale pewnie robił to tylko dlatego, że miał to zapisane w rejestrze Windows. Właściwie jest w tym pewna logika, skoro nie usunął zagrożenia to niby dlaczego miał się spodziewać, że to samoistnie znikło, a tak właśnie teraz się stało. W pewnym momencie program zaskoczył i oświadczył, że system jest czysty.
Oczywiście w przypadku rootkitów informacja podawana przez program antywirusowy nie jest i nie powinna być dla nas wiążąca, ale zawsze jest to coś. Następnym krokiem jest jeszcze dokładniejsze przeskanowanie systemu pod kątem rootkitów (czyli najlepiej właśnie z poziomu innego systemu operacyjnego; np. dedykowanym do tego jest program Gmer) oraz wybranie się na szkolenie z bezpieczeństwa, aby potem Internet Explorer nie był powodem następnych podobnych infekcji ;)
Nazw rootkitów nie pomnę, bo miały długie i trudne nazwy - wybaczcie.
Podsumowanie
Ogólnie całą sytuację oceniam jako bardzo niepokojącą, mijają kolejne lata, a systemy Microsoftu, cały czas są tak samo podatne na infekcje i to jeszcze znów z IE, co jest już przerobione w necie na 1000 sposobów do znudzenia.
Pisałem o tej karygodnej sytuacji w poście
Pretensjonalna reklama Microsoftu w PL (2010 r.), co gorsze reklama o której jest mowa bezczelnie przekonywała biednych użytkowników i potencjalnych klientów, że IE jest bezpieczny, a jak to wygląda w praktyce - doskonale widzimy w historii opowiedzianej w tym poście: jeden komp w domu wiele osób z niego korzysta i o problem nie trudno.
Doceniam jednak fakt, że system ten przynajmniej wiedział że jest poważnie uszkodzony (to dużo !), w związku z tym zaproponował procedurę odzyskiwania danego stanu systemu, co było o tyle pomocne że w ogóle umożliwiło jego uruchomienie. Jednak też nie jest to nic nadzwyczajnego bo podobne mechanizmy funkcjonują w systemach Microsoftu od dobrych 11 lat, a złośliwi powiedzieliby o następne 11 za krótko ;)
Historia ta, ponownie na wzór lat np. 90. przypomina jak dużym zagrożeniem są programy funkcjonujące w systemach Windows oraz jak bezbronne w nich są mechanizmy obronne programów antywirusowych (rootkit się bez problemów zainstalował pomimo działania najnowszej wersji programu oraz nie można go było usunąć!).
Jeszcze inną kwestią są programy firmy Microsoft, które są następnym zagrożeniem dla wątłych systemów zabezpieczeń systemów Windows, samo korzystanie z programów tej firmy stanowi poważne zagrożenie, jak widać nie chroni nas nawet dobry program antywirusowy. A do klasyki tej firmy zaliczyć należy właśnie Internet Explorer lub np. Worda czy Excela, które przykładowo kiedyś głośne były z tego, że zapisywały hasła użytkowników, a ja sam kiedyś byłem świadkiem równie absurdalnych zachowań.
W 2009 roku napisałem post
Bracia: Windows i Linuks, i cóż... trudno się z tym nie zgodzić. Warto jednak podkreślić, że brat Windows nie jest nikomu do niczego potrzebny, ale za to Windowsowi brat Linuks wielokrotnie ratował skórę, a ja mogę przytoczyć całą masę przykładów to potwierdzających, wziętych oczywiście z życia;)
Przeczytaliście więc możecie już
wyjć z przeglądarki internetowej :D
Info:
Post napisany w marcu br. nie opublikowany wcześniej ze względu na to że nie mogłem się dostać do fotek, które miały ilustrować ten post. Teraz niestety sprzęt uległ awarii i zdjęć już się chyba nie odzyska.
Nie udało mi się zastąpić tych fotek czymś z netu bo jeśli wierzyć wyszukiwarkom to jeszcze nikt nie zamieścił takich fotek, więc tym bardziej mobilizuje mnie to aby dostać się do pamięci smartfona.
