Вирус Trojan. Patched. HP или часовая бомба XP

Анекдот: "Почему праздник ужасов и мелких пакостей в Америке называется "Hello, Win"?".

  Шел две тысячи десятый год. Я установил "Windows XP Professional SP2" ("корпоративная" версия, не требующая активации; этим диском я пользуюсь с две тысячи четвертого года) и на этапе настройки доступных через панель управления параметров заметил странные подвисания во время нажатия кнопок "OK" и "Применить" окон CPL-программ. Разумеется, меня это тут же насторожило. Я провел полную проверку в "Касперском" (надо думать, версия две тысячи одиннадцатого года, ведь лаборатория опережает само время), который тут же пожаловался на системный файл "sfc_os.dll", обозвав его вирусом "Trojan.Generic.Patched.HP". На том бы и закончилась вся нервотрепка, если бы не ряд особенностей моей системы.
  Самое главное: за всю историю моего взаимодействия с компьютером, начавшуюся в две тысячи первом году, мой компьютер был только месяц напрямую подключен к тырдельнику. Да, в две тысячи девятом году я по глупости приобрел билайновский USB-модем, но в течение месяца оператор меня так выбесил наглым воровством имеющихся на счету SIM-карты денег (знаете, как злой гном, который по ночам крадет что плохо лежит), что я отказался от этого идиотизма и оставил модем только как картридер для microSD. Моя логика проста: если я заплатил за эту безделушку полтора куска, то это не повод "закапываться" и хоронить с ее помощью дополнительные деньги. Если я купил диск с дрянной игрой, то не стану говорить ничего хорошего о ней, "спасая" таким образом свою репутацию.
  Следовательно, я решил, что проблема пришла откуда-то изнутри. Но этого попросту не могло быть, ведь я всегда тщательно следил за появляющимися у меня файлами, проверял антивирусом все программы на самом жестоком (кто знаком с "Касперским", тот не видит здесь опечатки) уровне анализа, в том числе с эвристикой, избавлялся от явно зараженных и от подозрительных программ. В "Асе" или "ВовКонтактике" замечен не был. С нарастающим волнением я еще раз проверил все последние записанные диски, но ничего там не было. Заражен только один системный файл, причем сразу после установки системы. Почти...
  Не сразу до меня дошло, что я использую еще и "XPLite", и до отключения с его помощью службы самозащиты системы SFC никакого вируса у меня нет! "Значит, заражена "XPLite"!", - подумал я, но антивирус так не считал. Подумав еще, я решил, что имею дело с "malware" - группой особенно въедливых вирусов, проникающих в BIOS и служебные секторы винчестеров. До этого мне приходилось слышать о них жуткие легенды, и я страшно расстроился, повесил руки.
  Вскоре руки я все же подтянул, ведь нужно же работать как-то дальше. Вопрос о том, откуда берется эта пакость, я решил отложить, сосредоточившись на том, как вирус работает и когда показывается. Зависания панели управления до применения "XPLite" я списал на то, что вирус пытается атаковать службу SFC в процессе настройки, но, не справившись с ней, попросту грузит оборудование. Дальше возвращенная в статус "вне подозрения" "XPLite" по моей инициативе расправляется с этой службой, и вирус наконец добивается своей цели.
  Я отформатировал все винты, уничтожил все разделы и через консоль восстановления, загруженную с компакт-диска, переписал MBR. Впервые я зашел так далеко, хотя до сих пор почти ничего не знаю толком об устройстве MBR (а она, между прочим, активно вытесняется новинкой под названием GPT). Проблема оставалась. Я применил еще программу низкоуровневого форматирования винчестера (это, говорят, утка), а затем повторил вышеперечисленное - проблема оставалась. "Значит, сидит в BIOS!", - отчаялся я.
  Параллельно я вел наблюдение за компьютером друга, где стояла та же "XP" и новомодная тогда (для меня она остается такой и сейчас, потому что я ничем начиная с "Висты" включительно не пользуюсь) "Семерка". В "XP" подвисания наблюдались, несмотря на мощное железо, а вот "Семерка" вела себя ровно. "Значит, вирус работает только с устаревшими системами", - решил я и тогда у меня впервые возникло подозрение о том, что эта дрянь является встроенной в систему "часовой бомбой", призванной выкручивать руки старьевщикам и мракобесам вроде меня.
  Я, конечно, не настолько наивен, чтобы думать, будто "косые" контакты с тырдельником берегут мой компьютер от представлений о текущей дате и состоянии дел на рынке систем, тем более что до того времени дата в моем компьютере была насроена как есть. Я понимаю, что есть где-то на винчестере зарезервированный бит (не байт), который переключится однажды и превратит компьютер со старой системой (или даже любой компьютер) в "мертвую конструкцию".
 - Что же это такое!? Раньше я запускал на компьютере программы, смотрел ролики, слушал музыку, а теперь... Кто за это ответит?!
 - То есть, вы утверждаете, будто этот ящик вел себя "как живой", сам читал какие-то цифры и "понимал", что они означают картинки и звуки?
 - Да! Да, конечно! Погодите, а вы что же, в первый раз видите компьютер?! Кого угодно спросите: все видели эти картинки, все слышали эти звуки! Я не вру! Я не сумасшедший!
 - Сестра! Уведите этого буйного, а его телевизор выбросьте на помойку вместе с этим шкафчиком!
 - Так точно, доктор!
  Контакты с сетью для ориентации во времени вовсе не нужны, потому что с некоторых пор винчестеры официально оснащены технологией "S.M.A.R.T.", которая имеет информацию о дате производства винчестера и сроке его работы (насчет простоя она по легенде вроде как не "знает"). Про технические маркеры производства подключаемого к компьютеру оборудования я и вовсе молчу. "А как же "бомба" узнает о том, что существует новая версия операционной системы, конкурирующая с прежней, и на нее нужно переходить?", - спросите вы. Очень просто. Допустим, маркер превращения компьютера в "мертвую конструкцию" зарезервирован для исключительных военных случаев, но существует "руковыкручивательный" маркер, имеющийся на всех устройствах в скрытом секторе памяти или контролера. Пусть даже изготовленная в две тысячи пятнадцатом году "флешка" не сообщает о необходимости перехода (то есть, производитель скрывает свою роль), но при первом же подключении к передовой оси получает этот маркер. Можно обойтись и вовсе без сторонних источников, имея некоторую корпоративную стратегию: ""XP" должна дожить до конца десятилетия, после чего по любому мы выпустим следующую опорную систему, а она должна сойти со сцены".
  Разумеется, Контора учитывает, какие фокусы по части даты можно ожидать от пользователя: он может из простой прихоти выкрутить время далеко вперед, не имея при этом задней мысли. "Часовая бомба" при этом должна оставаться неактивной, иначе весь мир запросто узнает о ее существовании задолго до необходимости ее работы. Скандал Конторе не нужен, ведь ее клиентура начинается с бомжей и заканчивается средним бизнесом (по легенде, правительство некоторой хорошо всем известной страны также активно использует "Windows", однако я не стану это комментировать). Даже больше: если взломана сама система, то необязательно это является сознательным действием пользователя ("Я не виноват: мне сказали, что система легальная, я и поверил, тем более такие деньги за диск отвалил! И вот тут на этикетке написано, что легальная. А что, она взломана? Так трясите продавца, от меня только отстаньте!"), а потому ругаться с ним и отправлять автоматическое мыло в ментовку система не должна. Достаточно лишь уведомления и отказа работать. Аккуратно размахивая сейчас бархатной лапой без когтей, заинтересованные лица усыпляют бдительность, чтобы после одним жестким выпадом деморализовать размякшую клиентуру.
  Еще полвека назад в нашей стране почти каждый мальчишка был способен разобрать и собрать радио, многие умели паять схемы, а после и работать с капризными компьютерами вроде БК. Вот какая молодежь была в "аграрной" стране! Теперь это почти утрачено, в чем немалую роль сыграли операционные системы. "Это не трогай, это я решу за тебя, а сюда тебе и вовсе нельзя ради твоей же безопасности!". "Дружественный" интерфейс, пытающийся думать за пользователя и предугадывать его желания, оказывает ему дурную услугу, наносит серьезный вред. "Попался я на удочку прогресса и этим страшно навредил себе". Однако, я уверен, не перевелись еще умельцы, способные с программатором наперевес кинуться на память "S.M.A.R.T.", так что истинная область "часовой бомбы" дорогущей задействованной повсюду системы должна находиться в таком месте, о котором широкая общественность даже не подозревает.
  Для эксперимента я поставил тогда еще и "Windows 2000", но теперь уже не помню, как она реагировала на "вирус".
  Историю с "Trojan.Patched.HP" я надолго замуровал даже сам от себя. Достаточно было отключить SFC через "XPLite", чтобы убрать подвисания (хоть я редко после первой настройки обращаюсь к панели управления, само наличие симптомов меня раздражает). С тех пор я слежу за контрольными суммами исполняемых файлов, но ни разу не заметил ни одной фальсификации. О том, что вирусы могут иметь предпочтения на одни размеры с игнорированием других, я знаю, однако за десять лет карантина в эксперименте побывали самые разные файлы.
  Следующая подвижка в расследовании произошла в две тысячи шестнадцатом году, когда я нашел у себя старый дистрибутив "Windows XP Home SP1", отреставрировал его (диск был сильно поцарапан, но, к счастью, в области программ обновления и справки, тогда как директория "I386" уцелела вместе с корнем) и использую поныне (сами понимаете, что "безопасность в сети" и шифрация, являющиеся основой второго пакета обновлений, мне только в нагрузку). При первой же установке я столкнулся с обновленными "качелями"!
  Отключение SFC через "XPLite" не прекратило подвисаний панели управления! Столкнувшись с этой аномальной дерзостью, я даже растерялся. "Home" по определению не может быть "корпоративной", так что к дистрибутиву прилагался кряк, устанавливающий целую службу для борьбы с ограничением в тридцать дней триала (в комментарии программы говорится, что "это не взлом, просто тридцати дней нам мало для знакомства со всеми прелестями "XP"", с чем я полностью согласен, тестируя эту систему уже шестнадцать лет). Лишняя служба мне как человеку, привыкшему настраивать все с особым тщанием, совершенно не понравилась, и я попросту отключил ее запуск, о чем пожалел уже на следующей перезагрузке. Автозапуск службы я, разумеется, вернул, однако занес два ее исполняемых файла ("srvany.exe" и "resetservice.exe") в автозапускаемый у меня на старте системы BAT-файл как аргументы для программы "taskkill.exe", позаимствованной из профессиональной редакции. Даже не понимаю, почему разработчики кряка не предусмотрели самозавершение программ службы: выполнив свои махинации, они попросту не нужны в течение дальнейшего сеанса.
  Эти программы не просто не нужны - они противопоказаны для дальнейшего сеанса! Именно они и "подвешивают" мою "Home" вне зависимости от состояния SFC! Учитывая одинаковый симптом, я сделал вывод, что "Professional" "куплен" тем же кряком улучшенной версии, которая обходится без установки своей службы. Состояние SFC имеет значение, но не решительное, иначе бы в "Professional" и вовсе не было бы проблем с подвисаниями.
  А их, к слову сказать, до две тысячи десятого года у меня и не было, причем прилично себя вели обе версии "XP". Это и натолкнуло меня на мысль, что мой компьютер обладает актуальной информацией о текущей дате и состоянии дел на рынке, и хотя с момента "заражения" я использую подложную дату (для "Home" всегда две тысячи третий год, для "Professional" - две тысячи четвертый (если не путаю)), первое слово, как говорится, дороже второго. Я не ведусь на выкручивание рук - не ставлю третий пакет обновлений для "XP" или последующие системы, - потому что оно лишь усугубит проблему, упростив проникновение усложненной модели "часовой бомбы". Возьмем ту же GPT как потенциальный источник явных и скрытых "качелей": "XP" могла бы так или иначе получить директиву ее скачать и применить, однако выполнить это, имея контакт с сетью только через карты памяти и "флешки", записанные из-под "Андроида", гораздо труднее, чем если бы пользователь сам разрешил программе установки новой оси "улучшить" раздел, создать какие-то "нужные системе" дополнительные скрытые от себя же разделы. Для чего это "Семерке" нужен скрытый раздел, причем различающийся в зависимости от общего объема винчестера, но многократно превышающий необходимый дистрибутиву размер?
  Бытует мнение, будто новые "Windows" воруют частную информацию о пользователе. Любых "подозревальщиков" по традиции приписывают к параноикам. Да, просто рассуфоливать о воровстве бесполезно: его нужно изучать. Контору, наверное, изрядно забавляет тот факт, что большинство радеющих за сохранность своих данных людей "первыми начали", своровав у нее саму "Windows". Однако своровать одно и то же можно по-разному: речь ведь идет только о продлении срока службы пробной версии, а не о воровстве ее самой в виде исходных кодов. Одно дело - проехать зайцем в "маршрутке", и совсем другое - угнать "маршрутку" и ездить до посинения. Даже целенаправленный взлом пользователем ограничения использования "Windows" не дает Конторе права воровать персональную информацию! С другой стороны, наивность пользователя, разрешающего системе не вполне ясные операции под вздорными предлогами вроде "необходимо системе", "для вашей безопасности" и тому подобными, до добра не доведет. Да, в критический момент могут навсегда "умереть" и набитые исключительно только легальным ПО компьютеры, однако если мелкие пакости вроде "неизвестно откуда взявшегося подтормаживания только во время настройки", имеющего даже косвенно полученное имя "Trojan.Patched.HP", можно предовратить или отсрочить на будущее, этим нужно заниматься.
  По понятным причинам "часовые бомбы" должны быть устроены таким образом, чтобы их нельзя было идентифицировать как "часовые бомбы", правильно назвать и тем более указать на их разработчика. Если бы я по мере своего эксперимента обращался за "добрым советом" в компьютерную фирму, то получил бы сначала наказ избавляться от вируса "Trojan.Patched.HP" (никто как бы не должен знать о том, что он является не вирусом, а попросту производным работы официальной платной программы (хотя по определению отключение SFC подразумевает возможность последующего заражения системы извне)), а после, если бы я притащил "XP" без отключенной SFC, меня бы ткнули носом в нелегальную операционную систему; возможно, вторую отмазку задействовали бы сразу. Также я могу сколько угодно рассуждать о возможности выхода кряков "Windows" из стен Конторы (из-под пальцев создателей системы), приводя как довод разницу в гениальности и достатке ее программистов против познаний "профессиональных любителей", - в конечном итоге я услышу маразматичное "Тебе же говорили, чтобы ты не ждал от пиратов ничего кроме вирусов!". Необходимость покупать задействованные программы - более/менее узаконенный юридический долг; напрямую вынуждать покупать новое оборудование пока что нельзя, вот и приходится выкручивать руки через наслышанных о новой игрушке детей или неизвестно откуда взявшуюся причуду. Вот у меня имеется лицензионный диск с игрой "Гномы", однако и спустя почти двадцать лет я никак не могу снять с него копию-образ для более кофортной игры без задействования привода. Кто обязан дать мне новую копию этого диска, когда я протру его до дыр? Никто, а ведь я платил за него деньги. А если я вчера купил за бешеные деньги лицензию на "XP", кто ответит за то, что я не могу поставить ее на новое "железо"? Никто. Что-то уж сильно такая лицензия смахивает на аренду, зависящую от настроения и личного отношения бабки-квартиродательницы.
  Я не люблю фантазий кухонных "умельцев", высасывающих из пальца предсказания, описания и решения зачастую выдуманных проблем, не люблю и обнаглевших разработчиков, почти насильно впаривающих паршивые продукты неискушенной публике, да еще и на хлипких условиях. Правда в том, что чужая технология - потемки. Мы знаем только то, что нам положено знать. То, что плохо скрыто от нас, тоже положено знать, но вряд ли имеет приписываемое ему значение. "Windows", размахивая своей выведенной на экран лицензией, всего лишь кокетничает, хотя запросто будет стоять и без нее даже на компьютере самого последнего бродяги, потому что оная является одной из макушек вершины айсберга. Существует пафосное протвостояние контор, и у каждой есть свои фанатичные сторонники из числа простых людей, не имеющих с этой войны ничего кроме трат, проблем совместимости, а иногда и конфликтов с близкими людьми. Мы можем доверить компьютеру всю свою жизнь, надеясь не потерять ее однажды, а можем ограничить его только тем, что ему положено. Хоть сам я много сил и времени отдал и продолжаю отдавать шайтан-машине (в последние годы энтузиазм на этом фронте сильно поугас), издавна я испытывал непонятное уважение к компьютерным неряхам, у которых пять лет не менявшаяся "Винда", погибая под натиском вирусов, открывает модные песенки с точками и даже запятыми в именах файлов. Да, печально, что компьютер сегодня уже не тот, но гораздо грустнее и даже опаснее перемены в самом человеке!