Операционная система Windows XP официально была отправлена на покой в 2014 году, так что прошло уже 10 лет с тех пор, как она исчезла с большинства рабочих столов. Последнее обновление безопасности для этой некогда любимой всеми ОС вышло в 2019 году, так что по сути она мертва. Однако, по данным Главного бухгалтерского управления США (GAO), небольшой процент пользователей все еще используют ее, в том числе Государственный департамент. В связи с этим, один любопытный ютубер решил выяснить, сколько времени потребуется для заражения компьютера с Windows XP после подключения к интернету. Ответ – около 10 минут.
Известный в определенных кругах энтузиаст Эрик Паркер настроил Windows XP для работы на виртуальной машине. Следует отметить, что во время установки он отключил брандмауэр Windows. Это может показаться кому-то сомнительным решением, но учитывая отсутствие обновлений для XP уже целое десятилетие, вряд ли брандмауэр мог бы существенно помочь. Затем он подключил систему к интернету и оставил ее работать, наблюдая за происходящим. Важно отметить, что мистер Паркер не открывал веб-браузер и не начинал загрузку файлов - компьютер просто бездействовал. Через 10 минут он заметил запущенный процесс под названием conhoz.exe - вредоносное ПО, маскирующееся под безопасный процесс под названием conhost.exe.
Несколько часов спустя он снова вернулся к своему эксперименту и обнаружил, что к учетной записи был добавлен новый пользователь с именем «Админ», причем он ничего не трогал. При входе в учетную запись обычного пользователя, он выявил запущенную службу ftp.exe, которая также не внушала доверия. Проверка этих файлов в Process Explorer показала, что conhoz.exe был создан «Microsoft Compilation».
После проверки подозрительных файлов, в которых были обнаружены следы русских хакеров, г-н Паркер загрузил Malwarebytes и запустил сканирование. Он быстро обнаружил восемь угроз: четыре трояна, два бэкдора и две установки рекламного ПО. На этом этапе он использовал браузер для поиска информации о вредоносном ПО, но, как отметило издание PCGamer, скорее всего, компьютер пытались использовать в качестве ботнета.
Что интересно, Malwarebytes так и не смог обнаружить conhoz.exe, но после того, как он поместил восемь угроз в карантин и перезагрузился, conhoz.exe не запустился автоматически при загрузке. Сам вирус все еще находился в папке Windows/Temp, так что файл, запускавший эту программу, скорее всего был нейтрализован. Однако это оказалось не так, поскольку через несколько минут он снова начал работать. Затем он запустил Malwarebytes во второй раз, чтобы проверить, обнаружит ли он вредоносную службу, и, что удивительно, Malwarebytes внезапно отключился и вообще исчез. Проверив "Диспетчер задач", он обнаружил, что conhoz.exe снова работает в фоновом режиме. Мистер Паркер назвал это «победой вредоносного ПО».
