Рекламный блок.

Приезжаю на заказ. Заказ - восстановить файло. В небольшой конторе на всех машинах (шесть штук, все завязаны на свитч, одноранговая сетка) попропадали все doc, xls, bmp, и jpg. Помимо прочего также пропали базы 1С. Сам 1С - есть и работает, а базы - тю-тю с финиками... Бухгалтерия в ужасе (начало сентября, отчётный период, попа), отдел ПТО в трансе, генеральный в злобе нарезает круги по потолку, лихо огибая люстру, короче, атмосферка в офисе - как в приёмной у дантиста: все ждут помощи, но у всех нервы. Hу, выяснилось, что файло просто тупо грохнуто, вирусов нет, всё чики-чики. Кто грохнул? Все начинают коситься друг на друга и подозревать в саботаже. Бухгалтерши вспоминают двух сантехников, заходивших пару дней назад. "А что, они унитазы меняли, может, заодно грохнули наши пароли и потёрли все!" Угу. Гаечными ключами на тридцать два. И вот все в офисе заняты мыслями о том, кто ссучился, и кому гениталии рвать.

Ок, мастер возится пол-дня, на всех машинах почти всё восстановлено, затёрлось кое-что свопом, но 95% инфы снова на месте. Мастер рекомендует почаще делать бэкап и, заработав неслабые бабки, откланивается.
Проходит день. Мастера вызывают туда снова. Второй приход мастера был встречен молчанием. Все убиты. Всё то же самое, все доки грохнуты, базы 1С помножены на ноль. Шеф пьёт водку пополам с цитрамоном в своём кабинете с финдиректором на пару. Его комп выставлен за дверь кабинета, на белом боку корпуса - размашистая надпись чёрным маркером: "СУКА!!!" Бухгалтера забились за бабко-счётную машину и отпаиваются чаем с сушками. Работа стоит, проценты - бегут. Отдел ПТО разбирается с потенциальными предателями, заманивая к себе сотрудников по одному и задавая каверзные вопросы. "Где вы были в ночь с понедельника на пятницу?!" Теперь уже косятся на самого мастера: соучастник? Мастер пожимает плечами, бэкап так никто сделать и не удосужился, ну и ладно. Сами себе злобные буратины. Пол-дня, опять почти всё восстановлено. Мастер, ухмыляясь, напоминает о необходимости бэкапа, предлагает сделать бэкап самому, за пару часов (оплата мастера - почасовая). Отказываются: работы - неподнятая целина. Ок, наше дело - настойчиво предложить, ваше дело - величественно отказаться.

Проходит день. Мастера вызывает его непосредственный шеф - начальник службы техподдержки. В кабинете шефа - нач отдела безопасности. Гранитный такой бывший офицер КГБ. Hачинается допрос: что делал в той фирме, как смотрел, куда лазил... Мастер в непонятках. Оказывается, звонили с той фирмы, закатили истерику: третий день работа стоит, опять всё пропало, шеф. Итог разговора - его отправляют в ту контору ещё раз. "Hо теперь чтоб железно!" Ок. Приходит. Картина в компьютерах - та же (чисто поле). Картина в офисе - почти такая же: все стоят у стенки в коридоре (в кабинетах - никого!), шеф фирмы надыбал ТТ и грозится пристрелить любого, кто войдёт в рабочие помещения до тех пор, пока там будет работать мастер. Бухгалтерши заперлись от шефа в туалете и пытаются подогреть чай там. Мастер берётся за работу. Hо теперь работает пинцетно. Всё снова восстанавливается. Делается полный бэкап доков, плюс имаги дисков всех компов ложатся на шефский комп на специально и бесцеремонно отхапанный с Большого Шефского Винта хидовый диск. Проверяется всё досконально. Винды чистые. Инет в фирме - на отдельной машине без сетевушки, сидюка и дисковода. Вирусов нет. Спаев нет. Эксплойтов и гадостных батников нет. Реестр чист. Ошибок на дисках нет. Всё пучком! Мастер просидел там до ночи и таки нашёл ответ.

Разгадка: когда фирма основалась, понадобились компы. Hашёлся штудент, который тянул сеть, покупал компы, ставил винду, дрова, офисы, 1С, и прочее. За 100 баксов в месяц. (Дурной какой-то) Когда всё было настроено, парень начал приходить на работу чисто посидеть в инете. (настроено было, кстати, всё очень качественно, парень дело знал туго). Тогда бухгалтерши его под благовидным предлогом выперли. Вывели из себя, чел не удержался, нахамил... Зарплату за крайний месяц ему зажали. Адью, забирай свои игрушки и не писай в наш горшок, мы на тебя Абиделися. Перед уходом, парень активировал батничек, который тут же и самоуничтожился. Батничек запустил на всех компах программульку, прописавшуюся в бут на манер бут-виря, но поскольку была самодельной и не размножалась, Касперский невозмутимо его прошляпил. Программулька садилась в сайлент-режиме резидентом и писала лог создаваемых на диске документов, с фильтром по расширению, а заодно потихоньку с минимальным приоритетом сканила диск на предмет других файлов по списку (вдруг чё по сети скинули), и заносила найденное в тот же лог. Работала эта гадость только после шести вечера. В момент активации WinShutDown (Пуск->Завершение работы) все файлики грохались строго по списку. Счастье для конторы, что заломало его функцию create-erase туда сунуть: тогда всё, что восстанавливалось, имело бы нулевой размер. Поленился. Hо как грамотно! Чересчур извилисто и сложновато, но как грамотно! Мастер аккуратно срезал резидента, почистил за ним логи, сказал, что всё в порядке и ушёл. Сам так работал. Что ж своего коллегу выдавать...

Hе обижайте сисадминов. Это очень дорого стоит...

© Team Madalf

Придумано все красиво, но неправдоподобно. Резиденты из MBR в винде даже
в "сайлент-режиме резидентом" работать не будет. Любой нормальный сисадмин проверил бы процессы, список автозагрузки и сервисы.

Dekker

Никто не застрахован от произвола шефа, но в этом случае бывшего сисадмина можно смело привлекать за вредительство с возмещением ущерба (и морального тоже). Глупо заниматься подобного рода мщением, есть другие методы, не конфликтующие с УК.

Пэтро

но неправдоподобно. Резиденты из MBR в винде даже
в "сайлент-режиме резидентом" работать не будет. Любой нормальный сисадмин проверил бы процессы, список автозагрузки и сервисы.

- Ну а кто говорит, что технические подробности полностью сохранены? У каждого, вероятно, свои мульки. Напр, в обычный шедулер, где стандартные задания типа плановых дефрагов и сброса бэкапов баз на запасной хард (и что угодно еще), вместо, допустим, прямого запуска того или иного сервиса, запускается одноименный файлик (находящийся в соседней папке, или с крайне похожим именем в той же), который запускает тот самый батник уничтожения, а последней командой перед самовыключением запускает сервис, под который маскируется. Или же, один из сервисов слегка "пропатчен" для выполнения попутно и этого задания... В результате все процессы и сервисы нормальные, а что-то где-то запускается.

Вариант не обзаятельно такой, всё ограничивает полет фантазии админа А они обычно на это не жалуются )))

если бы в каждой заметке еще указывали как запускать эксплоит и как потом пользоваться полученой информацией, этот форум (например) уже бы слег давно

если бы в каждой заметке еще указывали

Кста, в связи с недавним громким взломом базы карт, попались занимательные реплики (цитирую часть разговора, чтоб ввести в контекст) :

По СНН и береза-ТВ как одно из обьяснений, почему на российских ломастеров валят, говорилось, что "на русскоязычных чатах было большое оживление, данное деяние расценивалось как победа над силами зла. К сожалению, из-за нехватки специалистов, обладающих в должной мере русским языком, мы не смогли пока выйти на главных действующих лиц"(С)
---------
Однако. Пол-Союза уехало  - и не хватает специалистов?  Наверное, не хотят сотрудничать с силами зла 
----------
мысли были. 
Или же целенаправленный вброс дезы с целью повысить подозрительность в сторону плохо владеющих и ослабить в сторону свободно говорящих...

Как-никак, еще в 2002 году госдеп (или не помню какое ведомство) заявило, что в национальных интересах оставляет за собой право использовать любые СМИ для дезинформации... шум еще поднялся тогда..
жаль, тогда не сохранил странички (или сохранил, но потерлись - как-то искал, не нашел)
------------------
Количество бывших, работающих программерами в FBI минимально. Причина проста надо проходить проверку очень серъезную, а денег не очень чтобы много платят.

PS В прошедший четверг я 3 часа беседовал с FBI Special Agent (но не с Скали или Молдером    ) друг работает в конторе, которая выполняет правительственные заказы и получает что-то типа допуска, вот все его связи трясут я был третьим в списке
------------------
Mishka> PS В прошедший четверг я 3 часа беседовал с FBI Special Agent

А вы обязаны были это делать? Нельзя было его (ну, технически) послать в сторону моря? Три часа ухлопать на увлекательное общение с каким-то агентом на тему, к вам в общем-то и не относящуюся...

если бы в каждой заметке еще указывали как запускать эксплоит и как потом пользоваться полученой информацией, этот форум (например) уже бы слег давно

Оно конечно так, но помоему в данном случае это не более чем красивая сказка, так как

Батничек запустил на всех компах программульку, прописавшуюся в бут на манер бут-виря

Я конечно могу и ошибаться, но чтото я не слышал о бутовых вирях, которые под Виндами нормально фунуционировали, во всяком случае под NT/2000/XP.