Главная

Непонятный механизм заражения вирусом — прошу помощи зала

2014-01-22 в 12:21, admin, рубрики: вирусы, Вирусы (и антивирусы), метки: вирусы

Коллеги, случилось невероятное — я подцепил вирус. Нет, в самом этом факте нет ничего удивительного. Но удивительно то, на каком уровне этот вирус работает. Точнее — я категорически не понимаю на каком уровне он работает, и уже готов предположить, что на аппаратном.

Предыстория

Всё началось с того, что в браузере Firefox 26 под Windows Vista 64 при открытии http сайтов стали выводится рекламные окна. Проанализировав страничку в инспекторе файрефокса я пришел к выводу, что в ходе загрузки страницы происходит загрузка непонятных скриптов с левых доменов, внедряющих в страничку слои div'ов с баннерами и прочей мутью.

Пока ничего страшного, я просто снес файрефокс вместе с пользовательскими настройками и переставил его по новой. Но не тут то было, мальварь продолжала функционировать.

Тут надо дополнить, что у меня установлен MSSE и после того, как произошло заражение я доустановил Avast. MSSE не увидел ничего, Avast же видит зараженные скрипты и блокирует их, но самого источника заражения не определят даже при полном сканировании системы. При этом https трафик вирус не заражает.

Некоторое время я перетоптался на Опера 12, этот браузер заражению небыл подвержен, попутно написав на форум Аваста о сложившейся проблеме. Затем мне надоело совместное сосуществование с вирусом и я быстренько поставил Debian тестинг.

Что-то пошло не так

Ничего не предвещало беды, но тут произошло невероятное. Только что установленный chromium при открытии yandex.ru показал тот же самый рекламный слой.

Т.е. я только что создал дополнительный раздел на диске ext4, установил минимальное окружение debian без дополнительных приложений, доустановил firmware-iwlwifi, wicd, xfce4 и xorg с зависимостями, поднял беспроводное соединение и поставил chromium из официальной репы, а браузер оказался уже заражен.