Помоги себе сам

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #070, стр. 070-072-2

По словам разработчиков, антивирусные базы обновляются каждые несколько часов (на самом деле это неправда), но и за это время от «свежего» вируса успевают пострадать десятки, если не сотни тысяч пользователей. Служба поддержки «Лаборатории Касперского» обрабатывает присланные вирусы моментально, отвечая буквально через несколько часов (даже если на дворе — глубокая ночь) и обещая включить детектирование в следующее обновление. Причем ответ приходит на языке оригинала. Хочешь общаться на английском — пиши по-английски, и все будет ОК. Ну, или не совсем ОК. Во-первых, в нашем случае ни через несколько часов, ни даже через день онлайн-сканер так и не научился распознавать заразу (научился через полтора дня, как раз к моменту завершения статьи). Во-вторых, Packed.Win32.Klone.g, обернутый в новый враппер, получил название Trojan-Dropper.Win32.Agent.arz, несмотря на то, что в письме был явно указан механизм его действия. Все это косвенным образом подтверждает догадку, что уже никто не исследует вирусы, а просто добавляет в базу новую сигнатуру...

Компания Dr.Web ответила лишь на следующий день, сообщив, что эти вирусы ей уже известны, и никак не прокомментировала тот факт, что их не берет онлайн-сканер. Причем на английское письмо пришел русский ответ — несолидно, однако! Ладно, воспользуемся локальными антивирусами. AVP ActiveX сканер нашел 8 вирусов в 26 пораженных объектах (хотя их там было намного больше), а CureIt! от Dr.Web – только один, да и то, наверное, с перепугу или по ошибке.

[преамбула]

Доверять антивирусам или нет — пускай каждый решает сам. Никто не спорит, что это очень хорошее средство против глобальных вирусных эпидемий. Но проверка программ, полученных из сети (особенно из ненадежных источников типа Осла), создает лишь иллюзию безопасности. Со специально подготовленными файлами антивирусы не справляются в принципе! Эвристический анализ отдыхает, и перед запуском всякой неизвестной программы ее должен вручную проанализировать высококвалифицированный специалист, умеющий держать soft-ice в руках и не шарахающийся в сторону от дизассемблера. Но специалистов мало, да и у тех времени на подобную ерунду не хватает.

Можно, конечно, запустить Диспетчер Задач, пройтись по ветвям реестра, ответственным за автозагрузку, попытавшись обнаружить подозрительные файлы, но… черт возьми! Откуда простому пользователю знать, какой из них легальный, а какой нет?! Windows содержит тысячи файлов, и еще большее количество добавляют устанавливаемые приложения. Редкий специалист сможет сказать, какая DLL за что отвечает.

Следовательно, необходима программа, собирающая максимум информации о системе и содержащая обширную базу данных о всех «честных» и «нечестных» файлах, а также обращающая внимание на особенности поведения некоторых программ (скрытые окна, внедрение в чужие процессы, отсутствие цифровой подписи/информации о производителе и т. д.), с возможностью временного отключения подозрительных программ и развитой системой поддержки пользователей (поскольку по-другому создать базу обо всех файлах просто не получится).