SavePearlHarbor

Непонятный механизм заражения вирусом — прошу помощи зала

от автора

admin
Коллеги, случилось невероятное — я подцепил вирус. Нет, в самом этом факте нет ничего удивительного. Но удивительно то, на каком уровне этот вирус работает. Точнее — я категорически не понимаю на каком уровне он работает, и уже готов предположить, что на аппаратном.

Предыстория

Всё началось с того, что в браузере Firefox 26 под Windows Vista 64 при открытии http сайтов стали выводится рекламные окна. Проанализировав страничку в инспектора файрефокса я пришел к выводу, что в ходе загрузки страницы происходит загрузка непонятных скриптов с левых доменов, внедряющих в страничку слои div’ов с баннерами и прочей мутью.

Пока ничего страшного, я просто снес файрефокс вместе с пользовательскими настройками и переставил его по новой. Но не тут то было, мальварь продолжала функционировать.

Тут надо дополнить, что у меня установлен MSSE и после того, как произошло заражение я доустановил Avast. MSSE не увидел ничего, Avast же видит зараженные скрипты и блокирует их, но самого источника заражения не определят даже при полном сканировании системы. При этом https трафик вирус не заражает.

Некоторое время я перетоптался на Опера 12, этот браузер заражению небыл подвержен, попутно написав на форум Аваста о сложившейся проблеме. Затем мне надоело совместное сосуществование с вирусом и я быстренько поставил Debian тестинг.

Что-то пошло не так

Ничего не предвещало беды, но тут произошло невероятное. Только что установленный chromium при открытии yandex.ru показал тот же самый рекламный слой.

Т.е. я только что создал дополнительный раздел на диске ext4, установил минимальное окружение debian без дополнительных приложений, доустановил firmware-iwlwifi, wicd, xfce4 и xorg с зависимостями, поднял беспроводное соединение и поставил chromium из официальной репы, а браузер оказался уже заражен.

Варианты

Я исключаю вариант заражения маршрутизатора, поскольку использовалось уже два разных, один из них — самосборный hostapd на debian из старого ноута.

Я исключаю вариант заражения провайдера, поскольку поменял уже двоих, один из них Ростелеком.

Я не исключаю вариант зарежения биоса, хотя это было бы категорически сложно.

Я не исключаю вариант заражения компонент AMT\ME.

Ну и еще один невероятный вариант — яндекс действительно заражен 🙂

И да, сейчас я сижу в debian которому отроду меньше часа, в опере, с вирусом в chromium и чувствую летчик.jpg

ссылка на оригинал статьи http://habrahabr.ru/post/209978/

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *