Sistemim Windows XP SP3'tür ve en son yamalar ile güncellenmiştir.
PC, dahili ağdan tek statik ortak IP adresine NAT yapan bir Cisco 877 ADSL yönlendiricisine bağlanır. Yönlendirilmiş bağlantı noktası yok ve yönlendiricinin yönetim konsoluna yalnızca içeriden erişilebilir.
İki şey yapıyordum: VPN üzerinden uzaktaki bir makinede çalışmak ve Cisco web sitesinde bazı web sayfalarını taramak.
Uzak ağ kesinlikle güvenlidir (bir laboratuvar ağı, dört sanal sunucu, herkesin erişimine açık olmayan hizmetler ve hiçbir kullanıcı yok; ayrıca, orada tarif edeceğimlerin hiçbiri yoktu).
Cisco web sitesi ... pekala, sanırım oldukça güvenli.
Aniden bir şey oldu.
Garip açılır pencereler her yerde görünür; "antimalware", "antispyware" vb. olduklarını iddia eden programlar otomatik kurulum yapmaya başlar; sistem tepsisinde sahte Windows Update ve Güvenlik Merkezi simgeleri açılır. svchost.exe art arda çökmesini başladı. Sonra, nihayet, birkaç dakika sonra ... BSOD.
Ve yeniden başlatmanın ardından, tekrar BSOD. Güvenli modda bile.
Tamam, belli ki bazı virüs / trojan / her neyse. Bir şeyleri temizlemek için yeni bir Windows kopyası başka bir bölüme kurmak zorunda kaldım. Neredeyse her yerde garip çalıştırılabilir dosyalar, servisler ve DLL'ler buldum. Diğer şeylerin arasında user32.dll ve ndis.sys değiştirildi. "Antimalware Doctor" adlı sahte bir yazılım kuruldu. Tamamen rastgele isimler veya hatta GUID'ler (!) Ve "IpSect" ve "Darkness" denilen servisler de vardı. .Exe uzantılı çalıştırılabilir dosyalar vardı. Sistemin çökmesine neden olanlardan oldukça emin olduğum iki önyükleme sınıfı sürücüsü bile vardı.
Gerçek bir katliam.
Tamam, şimdi sorular:
- Bu da neydi böyle?!? O was şey daha basit bir virüs daha!
- Güvenlik duvarının arkasında olduğum ve o sırada web’de yalnızca potansiyel olarak zararlı olabilecek bir şey yapmadığım için bilgisayarıma saldırmayı nasıl başardı?