Вчера секретарката на едни мои клиенти се обади със странен проблем. При смяна на клавиатурата от латиница към кирилица (или обратно) браузерът забивал. Всички други програми се държали ОК.
Измрънках няколко приглушени протеста срещу секретарската глупост и запраших натам. Когато пристигнах обаче, положението се оказа точно описаното. За капак на всичко, Internet Explorer не забиваше при смяна на клавиатурата. Firefox и Chrome обаче го правеха.
Стана ми интересно и зачоплих ситуацията. Преинсталиране на браузерите, включително с пълно почистване на следите им междувременно, не промени нищо. Почти бях вдигнал вече ръце (и рамене), когато забелязах нещо странно. И трите браузера се бавеха едва доловимо при отваряне на страница.
Старателният оглед на инсталирания софтуер не откри нищо подозрително. Още по-старателна проверка на диска с AVG и Spybot – също. Ей така, за пълна сигурност, реших да пусна и доказалия се анти-рууткит TDSSKiller на Касперски.
Изненадааа! Отказа да тръгне. Което се случва при точно едни обстоятелства – ако на диска има „буба“, която го убива при стартиране. Порових из Нета за инфо – имаше доста. Нищо от първите пет страници попадения в Гугъл обаче не се оказа релевантно. Експериментът с преименуване на файла на hello.com също свърши безрезултатно. Очевидно „бубата“ разпознаваше програмата по вътрешна структура – най-вероятно .EXE атрибутите ѝ. За съжаление нямах подръка редактор на тези атрибути, на който да мога да разчитам.
За щастие открих в Нета нещо, наречено TDSSKiller Undetectable. С променени .EXE атрибути и мисля, че леко „преподредено“, да обърква чексумиращи алгоритми за детектване. Не беше най-нова версия, така че поиска да се обнови през Нета, но за пълна сигурност му отказах. Само след няколко секунди проблемът беше открит – гнусен рууткит, криещ се из MBR-а и други защитени зони на диска. С повечето програми кейлогерът му работеше неоткриваемо, но вероятно е бил правен в условията на китайската монокултура на IE, и не е бил изтестван добре с другите браузери. След поискания рестарт вече TDSSKiller (включително свалената от сайта на Касперски най-нова официална версия) не откриваше нищо.
И проблемът с браузерите изчезна. 
(Предупреденият е въоръжен.)