הבייגל שלא תרצו לאכול, הוא יאכל לכם את המחשב

אני אתחיל מהסוף: הוירוס נקרא bagle, אבל זה לא בייגל מהסוג שתרצו לאכול, בעצם הוא זה שיאכל אתכם או יותר נכון, את המחשב שלכם. זה מסוג הוירוסים שחברות האנטי וירוס לא רוצות שתדעו שהוא קיים, זה הוירוס המתוחכם ביותר שיצא לי להיתקל בו. הוירוס הזה, הוא לא מהפשטניים שסתם הורסים לך את המחשב וזהו, הוא יגרום לך להזיע הרבה לפני שתבין שעדיף לפרמט ולהתחיל את הכל מההתחלה. אבל הוא התעסק איתי.

לפני מספר שנים שמתי לב פתאום, שנורטון אנטי וירוס שמותקן אצלי, לא עובד. עד אז הוא עבד כמו שצריך ואפילו האייקון שלו, זה שנמצא ליד השעון הופיע בגאון. את העובדה שיש בעיה, גיליתי ממש במקרה כאשר העברתי את העכבר על אותו אייקון והוא מצידו פשוט נעלם כ-לא היה. לא היה לי מושג שזו רק ההתחלה של דרך חתחתים שאני הולך לעבור עם הוירוס הזה. בעקבות האייקון שנעלם, ניסיתי להתקין שוב את האנטי וירוס וגיליתי שלא ניתן להתקין אותו, כי לא ניתן להפעיל את ה service (תהליך שרץ ברקע) שלו ובלי ה service הזה, אי אפשר להתקין את התוכנה עצמה. כאשר ניסיתי להפעיל את קובץ האנטי וירוס דרך קיצור הדרך שלו, קיבלתי הודעת שגיאה שהקובץ לא חוקי ומדי כמה שניות, האייקון היבהב/התרענן, כאילו משהו דורס את הקובץ עם עצמו.

ניסיתי להתקין את האנטי וירוס של AVG אבל גם במקרה הזה קיבלתי את אותה שגיאה שקשורה ל service וכידוע, ללא ה service, אי אפשר להתקין את התוכנה. ניסיתי להריץ את אחת מתוכנות ה anti spyware (נגד רוגלות, וירוסים מזן חדש שבסופו של דבר גם המטרה שלהם היא לעשות נזק למחשב) שיש לי אבל גם המקרה הזה, קיבלתי הודעה שהקובץ לא חוקי. תוכנה נוספת שניסיתי נתקעה גם בזמן העדכון וגם באמצע הסריקה. פה כבר הבנתי שיש לי בעיה קצת יותר חמורה מאשר סתם אנטי וירוס שהתקלקל.

ניסיתי אפשרות נוספת. ניסיתי להוריד עדכונים של חלונות ופה נכונה לי הפתעה, כל ההורדות נכשלו. בהתחלה קיבלתי הודעה שמספר services (גם לחלונות יש תהליכים שרצים ברקע) לא עובדים ולכן לא ניתן לעדכן את חלונות. כשהפעלתי את התהליכים האלה בצורה ידנית, קיבלתי הודעה שהעדכון לא הצליח בכלל להוריד את קבצי ההתקנה בגלל שגיאה כללית כזו, מהסוג שלא באמת אומר לך מה הבעיה. התחלתי לחשוב מה עוד אפשר לעשות אז פניתי לגוגל. שם נתקלתי במישהו עם אותה בעיה, שאמר שאנטי וירוס בשם NOD32 (כן, יש אנטי וירוס כזה) פתר לו את הבעיה. אצתי רצתי להוריד את האנטי וירוס הזה אבל כשניסיתי להתקין אותו, גם במקרה שלו קיבלתי את ההודעה המפורסמת שאי אפשר להתקין את ה service שלו ולכן לא ניתן להתקין גם את התוכנה עצמה. ממש מוזר שלכל האנטי וירוסים בשוק יש את אותן חולשות בדמות תהליך שרץ ברקע ובצורה פשוטה ניתן לשתק אותם.

עברתי לשלב הבא בדמות הפעלת המחשב מחדש. זה היה שלב מאוד מלחיץ כי לא ידעתי אם המחשב בכלל יעלה מחדש, יכול להיות שהוירוס מחכה שתתייאש ותפעיל את המחשב מחדש רק כדי לבצע את העבודה האמיתית שלו והיא: הרס מוחלט של הכל. בזמן הפעלת המחשב שמתי לב שיש מספר תהליכים חשודים ב task manager אבל את שם הקובץ שקשור לתהליך הזה לא מצאתי. מדי פעם עלו לרשימת התהליכים שרצים, כל מני שמות קבצים שבנויים ממספרים רנדומליים שנעלמו מיד.

בשלב הזה פניתי ל Online scan. ישנם אתרים שנותנים אפשרות לסרוק את המחשב מרחוק. בסריקה הזו כבר גיליתי קובץ שהיה חשוד אבל בבדיקות מהסוג הזה לא ניתן להסיר קבצים חשודים או וירוסים באופן כללי אלא רק לבדוק נטו. כשניסיתי להסיר את הקובץ בעצמי, הוא היה תפוס (הרי הוירוס פעיל כרגע אז ברור שהקובץ תפוס) ולכן לא ניתן להסרה. במצב כזה מומלץ להשתמש ב“מצב בטוח“ (הפעלת חלונות ללא תוספות מכל סוג שהוא) או במצב command line שזה מצב מקביל לדוס של פעם. מכיוון שמצב בטוח דורש להפעיל את המחשב מחדש ניסיתי קודם לעבור למצב של command line ומשם לנסות למחוק את הקובץ. כמובן שגם המצב הזה הכניס אותי לאין מוצא כי המחשב עשה ריסטרט באמצע התהליך. בחיפוש נוסף באינטרנט, מצאתי מספר מקורות שאומרים להפעיל את המחשב ב“מצב בטוח“ ולמחוק קובץ מסויים או להפעיל את האנטי וירוס מיד אחרי ריסטרט ולפני שחלונות עולה, רק שהם שכחו לכתוב שלא ניתן להגיע למצב הזה בכלל. אפשרות נוספת היא שזכיתי בגירסה משופרת של הוירוס הזה.

סיכום קצר ל-מה הוירוס הזה מסוגל לעשות:

• להרוג את האנטי וירוס הפעיל בלי שתדע
• למנוע התקנה והפעלה של כל האנטי וירוסים המוכרים
• שיתוק של סרביסים שקשורים לאנטי וירוסים וחלונות
• מניעת עדכון חלונות
• הפעלת תהליכים בלי שיראו אותם ב task manager
• יצירת קבצים ותיקיות בדיסק הקשיח שלא ניתן לראות גם אם מסמנים לראות קבצי מערכת וקבצים נסתרים
• מניעת אפשרות לעבור למצב בטוח safe mode
• מניעת אפשרות לעבור למצב Command line

המפתח של הוירוס הזה, באמת חשב על הכל! זה היה פשוט מדהים וגם קצת מתסכל, אני חייב להודות. החלק המעניין במה שהוא מסוגל למנוע מהמשתמש לעשות, הוא דווקא במה שהוא לא מונע מהמשתמש לעשות וזה להתחבר לאינטרנט. הוירוס הזה כל כך בטוח בעצמו שברור לו שגם חיבור לאינטרנט וגישה למידע מכל העולם, לא יעזור למשתמש להיפטר ממנו.

אז אתם שואלים את עצמכם איך בכל זאת הצלחתי להתגבר עליו? זו התשובה: AVG יצאו בגירסה חדשה ממש באותו הזמן. היא כנראה הייתה מספיק חדשה, שהוירוס לא ידע למנוע את הפעלתה תוך שיבוש ה service שלה כמו בגירסה קודמת ובתוכנות אנטי וירוס אחרות. כנראה שב AVG גילו את עקב האכילס שלהם ופתרו אותה בגירסה החדשה שהם הוציאו. הרצתי את גירסת הניסיון ל 30 יום וגיליתי שאותם תהליכים שרצים (כולל אלה עם המספרים הרנדומליים) נמצאים בתיקייה נסתרת תחת תיקיית ה system של חלונות (AVG ראה אותם והתריע על כך שהם מוסתרים בצורה חשודה) ובתיקייה הזו יש אלפי קבצים כאלה. הדרך היחידה להגיע לאותה תיקייה היא רק אם יודעים שהיא קיימת ורושמים את ה path (מסלול התיקייה) בצורה ידנית. כמו כן גיליתי, שבדיסק ההתקנה של חלונות יש אפשרות לעבור למצב של recovery console שזה מקביל לדוס אבל ללא הפעלת חלונות עצמה ומשם יש גישה להרבה דברים נחמדים שיכולים לעזור בטיפול במחשב חולה. הרצה של גירסת AVG החדשה מצאה לי את כל הקבצים החשודים. את הקבצים שיכלתי למחוק דרכו, מחקתי ומה שלא (כי הם היו תפוסים), מחקתי דרך דיסק ההתקנה של חלונות, עד שהעפתי כל זכר לוירוס הזה.

למרות שהשתמשתי בכל הידע שעמד לרשותי, אפשר לומר ששיחק פה גם המזל, שהופיע בדמות גירסה מספיק חדשה של AVG, שהוירוס לא הכיר. ידע הוא חשוב, מזל הוא חשוב אבל לפעמים כדי לנצח במשימה, צריך שילוב של שניהם. מאז אותו מקרה, הפסקתי להשתמש בנורטון אנטי וירוס ועברתי להשתמש ב AVG. הרגשתי שאני חייב להכיר לו תודה על כך שהוא חסך לי לא מעט זמן, אחרי הזמן הלא מועט שכן התבזבז לי, בניסיון להעיף את הוירוס הכי מתוחכם שנתקלתי בו עד לאותו הזמן.