Антивирус

Злое утро. Пациент, кишащий заразой. Надо бы вылечить. Хард к здоровому компу — и вперёд. Проверяю CureIt под чётким надзором включённого ESET SS.

Обращение Cure IT к заражённому файлу:
— Неизлечим. Перемещён.

ESET, перехватывая файл из карантина:
— Изолирован. Очищен удалением.

Дальше ловим любителя исполняемых файлов Sality.

Cure IT:
— Исцелён.

ESET c запросом к пользователю без возможности лечения:
— Удалить?

Вот он, выбор суровых челябинских айтишников.

Давеча пришлось столкнуться с доблестными служителями брендового меча и маркетингового орала, а именно с товарищами, проводившими презентацию известой марки антивируса на местном форуме с элементами выставки достижений айтишного хозяйства.

Заинтересовал меня антивирус для Windows Mobile с функцией «антивор»: если злоумышленник вставит свою симку, коммуникатор автоматически отошлёт SMS законному владельцу, параллельно блокируя всё на фиг. Задаю вопрос консультанту производителя:

— Насколько «невидима» работа этого антивируса в среде WM? Ведь можно просто взять и завершить соответствующий процесс через штатный менеджер, и тогда ничего отправить или заблокировать не выйдет.

Ответ явил собой чудо маркетинговой мысли:

— Вы знаете, люди, которые воруют коммуникаторы, не смогут отключить антивирус — они просто не умеют этого делать. А те, кто всё-таки умеет, не будут коммуникаторы воровать — они другими способами себе деньги зарабатывают.

Есть у меня один редкостно мнительный сосед, запуганный вирусами, ФСБ и Биллом лично. Надумал брать себе он новый комп. Главное условие: всё должно быть исключительно лицензионным.

Приходим в крупный и уважаемый магазин. Немногочисленные менеджеры, как назло, все заняты. Осматриваем ассортимент ноутов. Чую, плохо моему соседушке. На экранах ноутов красуется большой красный прямоугольник с вызывающей надписью: «Безопасность вашего компьютера может быть под угрозой». Понятное дело, что антивирус не стоит, но сосед, будучи не только мнительным, но и редкостно ламерным типом, принимает решение ноутов не брать.

Идём в секцию готовых системников. И тут засада: на большом количестве мониторов красуется надпись: «Возможно, вы стали жертвой мошенничества». Сосед, никого не слушая, принимает решение отправиться в другой магазин.

Проехали остановок шесть. Заходим. Сосед сразу к мониторам кидается — а там то же самое, только чуть поменьше. Зовём менеджера, тот поначалу грузит терминами, но видя, что клиент не в теме, выдаёт совершенно неожиданное.

— Тот магазин был тоже на улице Ленина?
— Да.
— Ну вот видите, Микрософт — крупная буржуазная корпорация. Вот дух Ленина и…

Подивившись чудному объяснению, мы решили посетить магазины на других улицах. Как вы думаете, какие мысли о вечном посетили мою голову после того, как мы побывали в магазинах на проспектах Социалистическом и Красноармейцев?

Компьютер мы так и не купили.

Самое точное определение слова «шланг» — это Dr.Web CureIt. Кто ещё мог дождаться, когда я все настройки на автоматические действия выставлю, запущу полную проверку и пойду спать, и только после этого задать вопрос про модифицированный файл hosts и остановиться?

Возникла у меня идея проверить антивирус, встроенный в корпоративный брандмауэр — Kerio WinRoute Firewall. Скачал тестовый вирус в разных вариантах. Антивирус эрзац-заразу ловил, как положено, и я удовлетворился.

Через некоторое время я заметил в логе KWF постоянные сообщения антивируса о пойманном вирусе и складывании всё новых обезвреженных файлов в карантин. Удивился, позакрывал все соединения со своей машины — бесполезно, лог растёт, карантин заполняется всё новыми файлами. Списал на глюк и забил. Но когда я вечером по плану перенёс шлюз на другой сервер, и антивирус начал ругаться уже там, призадумался. Перегрузился — всё исчезло. А потом обнаружил, что один из тестовых файлов передался в мою качалку, и она пыталась его слить, а антивирус всё блокировал, а она всё пыталась…

Но это не всё. Вечером пришёл домой, полез по VPN в сеть. Глянул в KWF — а с корпоративного почтового сервера идёт приличный поток данных. В девять вечера пятницы некому у нас отправлять столько почты — рабочий день в пять заканчивается. Вирусы? Не думаю. Посмотрел на почтовом сервере — мать моя женщина, море отправленных писем на мой ящик на Gmail, а также на корпоративный на этом самом почтовом сервере, и ещё море в очереди стоит! Gmail уже ругается, что он столько почты не подписывался за раз доставлять.

Антивирус KWF за день насоздавал целую кучу файлов в карантине. Пришёл вечер, а вместе с ним — окно бэкапа. ПО копирует в числе прочего и каталог KWF (с вирусами в карантине, ага), а на сервере бэкапа установлен корпоративный антивирус Trend Micro OfficeScan. Он настроен на отсылку предупреждений на мои ящики в случае обнаружения вирусов, коих со шлюза ему пришло предостаточно, хоть он все и уничтожил.

Бросился я временно перекрывать доступ в интернет почтовику да очередь чистить. Итог — 4400 писем на корпоративном ящике, 1500 на Gmail, 4000 писем, удалённых из очереди, и предупреждение об эпидемии в сети от OfficeScan. Cчастье, что Gmail не занёс мой почтовик в блэк-лист!

Захожу на сайт Касперского, чтобы задать вопрос в техподдержку. Вверху меню: «Продукты, Интернет-магазин, Купить у партнёра, Угрозы, Техподдержка». Зависаю на слове «Угрозы». Там, конечно, рассказывают о вирусах, но воображение нарисовало мне совершенно другое:

— Если ты, падла, только попытаешься использовать левый ключ или, не дай бог, установишь ключ больше чем на 10 ПК, указанных в лицензии, то мы тебе и винты отформатируем, и карманы заодно. Ну, ты нас понял, да?

Пропадает в госконторе интернет. Смотрим пинги до шлюза — падает минуты через две. Белая статика на сетевухе, настройки верные. На сервачке, конечно, не фряха, не пингвин, а обычная экспишка-SP2, но и её я сразу в виновницы отвалов как-то записывать постеснялся. Помогало либо выдёргивание кабеля из аплинковой сетевухи, либо программное отключение-включение её же. С третьего раза заметил: в момент потери пингов начинает обновляться Касперский. Попробовал вручную — да, в то же мгновение пропадает пинг, и помогает только передёргивание интерфейса. Причём с локальных машин проходит обновление той же версии на ура, да и сам сервак после восстановления связи обновляется. Что ж, сослался на антивирь, пообщался с инженером, который им это все «обновлял до лицензии», вышел довольный с подписанным актом.

Бухгалтеры? А вы пробовали объяснить врачам в обычной городской больнице, что такое спам? У меня ушло минут тридцать. То, что наш почтовый сервер блокирует им доступ на почтовый ящик из-за массовой рассылки, мне пришлось излагать в объёме школьного сочинения — если бы стенографировали, точно в положенные шесть тетрадных листов уложилось бы.

В акте оказания услуг есть строка «замечания абонента», заполняемая самим абонентом. Записи вроде «я дебил» уже особо не удивляют. Честное слово, попадаются граждане, которые не могут ввести пароль для VPN-соединения. Таким вводишь, подписываешь платный вызов, а они ещё возмущаются, почему не научили. Этому обучают в школе преподаватели, а не сотрудники технической поддержки провайдера.

И крик души напоследок. Уважаемые монтажники, убедительная просьба: не режьте кабели других провайдеров! Понятно, что всё равно, но такие войны, как правило, приводят к взаимному печальному исходу. Кровельщики, слесари и прочие работники муниципальных служб, не жгите, не режьте, пожалуйста, оптику! Это пагубно влияет на психологическое состояние жильцов, у которых вам свои же акты для своего же начальства подписывать.

Работал админом. По долгу службы частенько приходилось навещать удалённые филиалы для решения жизненно важных проблем типа бумаги, застрявшей в принтере. После проведённой воспитательной работы юзеры стали немного поумнее, и звонки раздавались всё реже. Собственно, я давно дал указание любые ошибки, возникающие в процессе работы, записывать как можно более точно, дабы потом не возникало пересказов на вольную тему: «А вот там какое-то окошко с красным кружочком было, ну вы понимаете, о чём я говорю».

Тот месяц был концом отчётного периода, и возможности выехать куда-то за пределы главного офиса не было, поэтому после очередного звонка сотрудницы я буркнул: «Запишите всё поточнее. Приеду — разберусь». Приехал я где-то через месяц. То, что я увидел, сложно передать словами. Женщина любезно вручила мне «Журнал компьютерных ошибок», где подробно, с точностью до регистра латинских букв, были записаны всплывающие сообщения NOD32 об удалении тела вируса в %systemroot%\%randomfoldername%\%randomfilename%.exe. К слову, сообщение выскакивало от трёх до десяти раз за день. Файлы NOD32 удалял, но никак не мог избавиться от заразы до конца, и вирус продолжал гулять где-то в недрах операционки. Журнал занимал 28 страниц рукописного текста. Да уж, трудолюбию и самоотверженности юзерши мне оставалось только завидовать. Честно говоря, стало даже немного стыдно.

На машинке блондинистой коллеги стоит стандартный офисный антивирь. Зачем-то коллегой была скачана бесплатная утилита от той же конторы, что делала шедевр защиты от электронных инфекций. В общем, ради интереса запустил я эту утилиту. После сканирования она заявила, что компьютер находится в зоне риска, и любезно предложила купить антивирусный пакет. Чешу голову. У меня созрело два варианта:

1. Это глобальный заговор, и компьютер управляется злобными хакерами, которые хитрым образом создают видимость наличия антивируса: мигает, ищет, таблички разные рисует.
2. Разработчики — не совсем умные люди.

Но по душе мне вариант третий: отобрать у коллеги компьютер и не тратить время читателей этого сайта.