הבייגל שלא תרצו לאכול | החיים, מערכות-מידע, ומה שביניהם

מאמר אורח מאת עמוס שוסט*

הסוף

אתחיל מהסוף: הסיפור מתרחש לפני כעשור. הבייגל המדובר אינו עוד כעך טרי שמדיף ניחוח מאפיה, במילוי גבינת שמנת, נתחי סלמון מעושן ומעט שמיר, אלא וירוס מחשבים שנקרא bagle.

כפי שאתם מבינים, זה ממש לא בייגל מהסוג שתרצו לאכול, זה בייגל שיאכל אתכם או יותר נכון, את המחשב שלכם. bagle הוא מסוג הוירוסים שחברות המפתחות 'אנטי-וירוס' לא רוצות שתדעו שהוא קיים, זה הוירוס המתוחכם ביותר שיצא לי להיתקל בו. הוירוס הזה, הוא לא מהפשטניים שסתם הורסים לכם את המחשב וזהו, הוא יגרום לכם להזיע הרבה לפני שתבינו שעדיף לפרמט ולהתחיל את הכל מההתחלה.הוירוס הפיל קורבנות רבים, אבל הסיפור היה קצת שונה כשהוא התחיל להתעסק איתי!

תסמינים ראשונים של מחלה

הסיפור מתחיל כששמתי לב, פתאום, ש'נורטון אנטי וירוס' שמותקן אצלי, לא עובד. עד אז הוא עבד כמו שצריך ואפילו האייקון שלו, זה שנמצא ליד השעון, למטה, בפינה, הופיע בגאון.
את העובדה שיש בעיה, גיליתי ממש במקרה כאשר העברתי את העכבר על אותו אייקון והוא מצידו פשוט נעלם. נ-ע-ל-ם כלא היה. לא היה לי מושג שזו רק התחלתה של דרך חתחתים שאני הולך לעבור עם הוירוס הזה.

בעקבות האייקון שנעלם, ניסיתי להתקין שוב את האנטי וירוס, להפתעתי גיליתי שלא ניתן להתקין אותו, כי לא ניתן להפעיל את ה service (תהליך שרץ ברקע) שלו ובלי ה service הזה, אי אפשר להתקין את התוכנה עצמה. כאשר ניסיתי להפעיל את קובץ האנטי וירוס דרך קיצור הדרך שלו, קיבלתי הודעת שגיאה שהקובץ לא חוקי ומדי כמה שניות, האייקון היבהב/התרענן, כאילו משהו דורס את הקובץ עם גרסה של עצמו.

פתרונות 'אקמול'

ניסיתי להתקין את האנטי וירוס של AVG אבל גם במקרה הזה קיבלתי אותה שגיאה שקשורה ל service וכפי שכבר ידוע, ללא ה service, אי אפשר להתקין את התוכנה. ניסיתי להריץ אחת מתוכנות ה anti spyware (נגד רוגלות, וירוסים מזן חדש שבסופו של דבר גם המטרה שלהם היא לעשות נזק למחשב) שיש לי אבל גם במקרה הזה, קיבלתי הודעה שהקובץ לא חוקי. תוכנה נוספת שניסיתי נתקעה גם בזמן העדכון וגם באמצע הסריקה. פה כבר הבנתי שיש לי בעיה קצת יותר חמורה מאשר סתם אנטי וירוס שהתקלקל.

זו לא סתם הצטננות

הבנתי שהפתרון צריך להיות יותר עמוק ובחנתי אפשרות נוספת. ניסיתי להוריד עדכונים של 'חלונות' ופה נכונה לי הפתעה, כל ההורדות נכשלו. בהתחלה קיבלתי הודעה שמספר services (גם לחלונות יש תהליכים שרצים ברקע) לא עובדים ולכן לא ניתן לעדכן את חלונות. כשהפעלתי את התהליכים האלה בצורה ידנית, קיבלתי הודעה שהעדכון לא הצליח בכלל להוריד את קבצי ההתקנה בגלל שגיאה כללית כזו, מהסוג שלא באמת אומר לך מה הבעיה.
התחלתי לחשוב מה עוד אפשר לעשות אז פניתי לד"ר גוגל. שם נתקלתי במישהו עם אותה בעיה, שאמר שאנטי וירוס בשם NOD32 (כן, יש אנטי וירוס כזה) פתר לו את הבעיה. אצתי רצתי להוריד את האנטי וירוס הזה אבל כשניסיתי להתקין אותו, שוב קיבלתי את ההודעה המפורסמת שאי אפשר להתקין את ה service שלו ולכן לא ניתן להתקין גם את התוכנה עצמה. ממש מוזר שלכל האנטי וירוסים בשוק יש את אותן חולשות בדמות תהליך שרץ ברקע ובצורה פשוטה ניתן לשתק אותם.

עברתי לשלב הבא שהיה הפעלת המחשב מחדש. זה היה שלב מאוד מלחיץ כי לא ידעתי אם המחשב בכלל יעלה מחדש, יכול להיות שהוירוס מחכה שתתייאש ותפעיל את המחשב מחדש רק כדי לבצע את העבודה האמיתית שלו והיא: הרס מוחלט של הכל. בזמן הפעלת המחשב שמתי לב שיש מספר תהליכים חשודים ב task manager אבל את שם הקובץ שקשור לתהליך הזה לא מצאתי. מדי פעם עלו לרשימת התהליכים שרצים, כל מני שמות קבצים שבנויים ממספרים רנדומליים שנעלמו מיד.

בשלב הזה פניתי ל Online scan. ישנם אתרים שנותנים אפשרות לסרוק את המחשב מרחוק. בסריקה הזו כבר גיליתי קובץ שהיה חשוד אבל בבדיקות מהסוג הזה לא ניתן להסיר קבצים חשודים או וירוסים באופן כללי אלא רק לבדוק נטו. כשניסיתי להסיר את הקובץ בעצמי, הוא היה תפוס (הרי הוירוס פעיל כרגע אז ברור שהקובץ תפוס) ולכן לא ניתן להסרה. במצב כזה מומלץ להשתמש ב“מצב בטוח“ (הפעלת חלונות ללא תוספות מכל סוג שהוא) או במצב command line שזה מצב מקביל לדוס של פעם. מכיוון שמצב בטוח דורש להפעיל את המחשב מחדש ניסיתי קודם לעבור למצב של command line ומשם לנסות למחוק את הקובץ. כמובן שגם המצב הזה הכניס אותי לאין מוצא כי המחשב עשה ריסטרט באמצע התהליך. בחיפוש נוסף באינטרנט, מצאתי מספר מקורות שאומרים להפעיל את המחשב ב“מצב בטוח“ ולמחוק קובץ מסויים או להפעיל את האנטי וירוס מיד אחרי ריסטרט ולפני שחלונות עולה, רק שהם שכחו לכתוב שלא ניתן להגיע למצב הזה בכלל. אפשרות נוספת היא שזכיתי בגירסה משופרת של הוירוס הזה.

אומדן נזקים

סיכום קצר ל-מה הוירוס הזה מסוגל לעשות: * להרוג את האנטי וירוס הפעיל בלי שתדע * למנוע התקנה והפעלה של כל האנטי וירוסים המוכרים * שיתוק של סרביסים שקשורים לאנטי וירוסים וחלונות * מניעת עדכון חלונות * הפעלת תהליכים בלי שיראו אותם ב task manager * יצירת קבצים ותיקיות בדיסק הקשיח שלא ניתן לראות גם אם מסמנים לראות קבצי מערכת וקבצים נסתרים. * מניעת אפשרות לעבור למצב בטוח safe mode * מניעת אפשרות לעבור למצב Command line. המפתח של הוירוס הזה, באמת חשב על הכל! זה היה פשוט מדהים וגם קצת מתסכל, אני חייב להודות. החלק המעניין במה שהוא מסוגל למנוע מהמשתמש לעשות, הוא דווקא במה שהוא לא מונע מהמשתמש לעשות וזה להתחבר לאינטרנט. הוירוס הזה כל כך בטוח בעצמו שברור לו שגם חיבור לאינטרנט וגישה למידע מכל העולם, לא יעזור למשתמש להיפטר ממנו.

טיפול שורש

אז אתם שואלים את עצמכם איך בכל זאת הצלחתי להתגבר עליו? איור של שדון וברקים צבעוניים המסמל וירוס ותקיפתו

זו התשובה: AVG יצאו בגירסה חדשה ממש באותו הזמן. היא כנראה הייתה מספיק חדשה, שהוירוס לא ידע למנוע את הפעלתה תוך שיבוש ה service שלה כמו בגירסה קודמת ובתוכנות אנטי וירוס אחרות. כנראה שב AVG גילו את עקב האכילס שלהם ופתרו אותה בגירסה החדשה שהם הוציאו. הרצתי את גירסת הניסיון ל 30 יום וגיליתי שאותם תהליכים שרצים (כולל אלה עם המספרים הרנדומליים) נמצאים בתיקייה נסתרת תחת תיקיית ה system של חלונות (AVG ראה אותם והתריע על כך שהם מוסתרים בצורה חשודה) ובתיקייה הזו יש אלפי קבצים כאלה.
הדרך היחידה להגיע לאותה תיקייה היא רק אם יודעים שהיא קיימת ורושמים את ה-path (מסלול התיקייה) בצורה ידנית. כמו כן גיליתי, שבדיסק ההתקנה של חלונות יש אפשרות לעבור למצב של recovery console שזה מקביל לדוס אבל ללא הפעלת חלונות עצמה ומשם יש גישה להרבה דברים נחמדים שיכולים לעזור בטיפול במחשב חולה. הרצה של גירסת AVG החדשה מצאה לי את כל הקבצים החשודים. את הקבצים שיכלתי למחוק דרכו, מחקתי ומה שלא (כי הם היו תפוסים), מחקתי דרך דיסק ההתקנה של חלונות, עד שהעפתי כל זכר לוירוס הזה.

סוג של סיכום

למרות שהשתמשתי בכל הידע שעמד לרשותי, אפשר לומר ששיחק פה גם המזל, שהופיע בדמות גירסה מספיק חדשה של AVG, שהוירוס לא הכיר. ידע הוא חשוב, מזל הוא חשוב אבל לפעמים כדי לנצח במשימה, צריך שילוב של שניהם. מאז אותו מקרה, הפסקתי להשתמש בנורטון אנטי וירוס ועברתי להשתמש ב AVG. הרגשתי שאני חייב להכיר לו תודה על כך שהוא חסך לי לא מעט זמן, אחרי הזמן הלא מועט שכן התבזבז לי, בניסיון להעיף את הוירוס הכי מתוחכם שנתקלתי בו עד היום.

——-

(המאמר המקורי פורסם בפייסבוק בדף של המחבר – עמוס שוסט)

דבר העורך

ברוב המקומות שמנסים להקנות לנו השכלה, מלמדים על 'מקרים ותגובות' – איך להגיב כשקורה משהו מתוך רשימה ארוכה, אך סופית, של מקרים מהם ניתן להשליך על מקרים דומים, וסט סטנדרטי של תגובות, אך במציאות החיים מספקים לנו לא מעט מקרים בהם דרך הטיפול שונה ממה שהכרנו עד כה.
ההתמודדות הנכונה עם מקרים היא להבין, בצורה מהירה ככל האפשר האם מדובר במקרה שיש לו "פתרון בית-ספר" (חשבתם פעם על המשמעות האמיתית של הפתרון הזה?) או שצריך להפעיל את החשיבה היצירתית שלנו ולמצוא פתרון חדש שעוד לא עשו קודם.
גם פתרון חדש יכול להיות הרכבה של חלקי פתרונות שעשו קודם. חשיבה יצירתית ומקורית זו בדיוק היכולת האמיתית אותה אנחנו צריכים לפתח ולחזק. היא זו שתאפשר לנו לבחור בין פתרון מוכר וידוע לבין חיפוש פתרון חדש ומקורי.
חשוב גם לשמור על גבולות הגיוניים, בכל זאת, למקרים רבים כבר מצאו את התגובה ההולמת, בד"כ היא תהיה זמינה ובדוקה.

כל המותגים המוזכרים במאמר הם כלים טובים ויעילים נגד האיומים שאותם הם יודעים לתקוף, אחת לתקופה קם איון בדמותו של "מזיק" מזן חדש, כולם מנסים למצוא לו תרופת-נגד, ותמיד יהיה מישהו שימצא פתרון לפני כולם. אין במאמר הנ"ל המלצה או שלילה של כלי זה או אחר, אלא סיפור אישי של הצלחה נגד מזיק ספציפי.

—————–
*עמוס שוסט הוא איש יקר שהכרתי במהלך השירות הצבאי שלי. כמו הרבה אנשים טובים שהכרתי הוא תוכניתן, המיוחד בו הוא ההקפדה לפרסם כמעט מדי יום, הגיג פילוסופי בפייסבוק שלו. מומלץ בחום!