Внимательно запускайте java расширения или 3dnews.ru распространяет вредоносное ПО

В прошлую пятницу словил вирус. Причем, самое интересное, что не посещал какие либо подозрительные сайты, не искал кряков либо варезов. Вполне себе обычный вечер за чтением новостей в сфере ИТ, мог бы выдаться. Однако, зайдя на сайт 3dnews.ru используя Google Chrome установил «недостающее расширение» Java. На самом деле, я так не делаю, однако, от ведущего российского сайта в сфере информационных технологий подвоха не ожидал. Более того данный сайт находится в списке наиболее посещаемых.

Итак, после установки «недостающего расширения» антивирус Microsoft Essentials незамедлительно отрапортовал о том, что нежелательное ПО было уничтожено. И, хотя тревога прошла так же быстро как и наступила, на самом деле нежелательное ПО не было удалено (или удалено, но немного запоздало), а компьютер начал вести себя неадекватно. После перезагрузки, появляются сообщения с разного рода ошибками на установленное ПО (причем разное, хотя после пары перезагрузок список «устаканился», тогда я этого еще не знал). Первым делом пришла в голову идея, что не все хорошо с аппаратным обеспечением (жесткий диск либо память).

Здесь хотелось бы сделать небольшое лирическое отступление. Мысль о том, что компьютер был заражен пришла не сразу, т.к. с момента установки нежелательного ПО прошло около полутора часа, которые были потрачены на просмотр фильма по телевизору. Т.е. хронология событий следующая: зашел на 3dnews.ru – установил расширение – появилось сообщение об успешном избавлении от нежелательного ПО – Google chrome выдал ошибку и закрылся – начался фильм по телевизору и я на него переключился. Хотя с первого взгляда может показаться несколько странно, на самом деле просто перед просмотром фильма была пара минут, которые планировалось убить за чтением небольшой новости из ИТ.

После просмотра фильма, вернувшись к компьютеру, продолжить работу не удалось ввиду отказа работы Google chrome. После перезагрузки появились ошибки не связанные с браузером, однако ни Chrome ни Firefox не запускались. Если первый выдавал ошибку и закрывался, то второй просто зависал. Единственный браузер, который более менее работал был Microsoft Internet Explorer, более менее, т.к. браузер периодически выдавал ошибку, однако сам оперативно восстанавливал страницы, правда не все, но с 3го-4го раза удавалось закрепится на нужной странице.

Отказывались работать не только браузеры, но и MS Office 2013, Visual Studio 2012, может и другое ПО, все не проверял. Здесь то и закралась мысль, что вряд ли виновато аппаратное обеспечение, т.к. для жесткого диска события развиваются очень быстро, а для оперативной памяти уж очень постоянные ошибки. Запуск антивируса Microsoft Essentials показал, что в журнале находится сообщение об выявленном элементе эксплойт: Java/CVE-2011-3544.

Дата и время идеально совпадают с посещением сайта 3dnews и, несмотря на выявление этого ПО антивирусом, похоже определенные изменения с ОС уже произошли. Дальнейшее сканирование компьютера на наличие нежелательного ПО результатов не дало. И тут мне подсказали идею – восстановиться с контрольной точки. Благо она была недалеко – 6го числа перед плановым обновлением Evernote, Windows 7 благополучно себя засейвила.

Восстановление произошло успешно, и система начала работать как и прежде. Выводы достаточно банальны: 1й – доверяй, но проверяй, 2й  – самые простые средства безопасности могут пригодится.

Возможно эта заметка так и не увидела бы свет, т.к. несмотря на наличие неопровержимых фактов в пользу того, что именно 3dnews стал источником головной боли на 1,5 часа (именно столько времени было потрачено на восстановление системы), сомнения все равно оставались, однако вот вчера 13го февраля очередное посещение вышеупомянутого сайта закончилось вот таким предупреждением

Кстати тогда, я не стал игнорировать данное предупреждение.