Главное меню

Сетевой вирус

Сетевой вирус

Некоторое время назад я работал в одном из региональных филиалов крупного интернет провайдера. Запомнилось мне это время на всю оставшуюся жизнь, когда в один прекрасный момент моя спокойная работа превратилась в ад. Занимался я много чем, но в основном – обслуживанием серверной части.
В один из непримечательных дней поступает информация из колл-центра, что на одном микрорайоне нет интернета. Проверяем все – есть интернет, люди пользуются. Заходим в саму локальную сеть, и тут вот вам, получите – откуда-то взялся левый DHCP сервер.

Ну – тут дело уже привычное, вычисляем, откуда идет раздача, блокируем порт, звоним абоненту – а он жалуется, что нет интернета мол. Мы же в свою очередь уверены, что он либо неправильно установил роутер, либо что-то нахимичил, как раз в местной компьютерной академии были выпускные экзамены, и многочисленные будущие системные администраторы постоянно проводили эксперименты. Абонент нас уверил, что ничего не ставил и не менял, мы предположили, что это такой новый вирус, и порекомендовали ему почистить компьютер антивирусной программой. В конце рабочего дня – опять жалоба с колл-центра.
Я, как дежурный – сразу проверяю сеть на наличие левых DHCP – и нахожу их шесть штук. Связавшись с администратором – принимаем решение – блокировать пользователей, и просить провериться антивирусом. На следующее утро – восемь новых зараженных. Старые же звонят, уверяя, что все вылечили – и опять заражаются после разблокировки.
Принцип распространения вируса был очень прост и гениален. Он раздавал свои адреса, причем из этой же подсети, и присваивал пользователям абсолютно другой адрес DNS сервера. Пользователь, пытаясь открыть страницу, получал уведомление, что его браузер устарел и требуется обновление. Скачав файл – компьютер заражался. И так до бесконечности. Решили мы проблему просто – переадресовав все запросы с левого DNS на свой. Затем нашли всех зараженных и вынудили их избавиться от этой гадости. Но это был не конец мучений. В скором времени этот вирус появился в других подсетях, которых у нас было немало.
Примечательный зверь, особенно если столкнуться сего массовым проявлением. Незабываемые ощущения от рутинной работы по поиску зараженных.