Антивирус

Числилась я лет пять назад в некотором институте хрен знает кем. Нанималась лаборантом, приняли инженером, задачи в целом вменили сисадминские. Приходила я туда два раза в неделю: немного поработать в понедельник и поприсутствовать на лабах во вторник. На лабах во все прочие дни присутствовали для порядка девочки-методистки.

Появляюсь я в какой-то из прекрасных понедельников, включаю преподавательский комп (он же рабочая станция) и фигею: система тормозит и виснет. Выяснять причину долго не пришлось. За сферы влияния боролись два антивира: родной, лицензионный Каспер и неизвестно откуда взявшийся Аваст. Матерюсь, перезагружаюсь, выкидываю Аваст, иду скандалить к начальству.

— Да, в субботу были лабы. Да, между прочим, у завкафедрой информатики. Да, девочки присутствовали, даже две. Как кто ставил новый антивирус? Завкафедрой и ставил. Что, нельзя вместе с Касперским? Ну что вы к нам придираетесь — мы же не можем завкафедрой за руки держать…

И ещё минут пять в том же духе. Плюю, предупреждаю на будущее, ухожу.

Вторник. Сижу на лабах с преподавательницей информатики — чрезвычайной умницей, кстати. Намереваясь уточнить, как с головой у её завкафедрой, рассказываю в подробностях вчерашнюю историю. Преподавательница внимательно выслушивает, сочувственно кивает и говорит:

— Не слушайте вы девочек! Такого просто не могло быть. Завкафедрой — я знаю его уже двадцать лет — никак не мог установить новый антивирус, потому что он умеет только включать компьютер, выключать компьютер и набирать текст в Ворде.

Действительно, потом выяснилось, что даже сохраняют тексты, набранные завкафедрой, студенты. А злосчастный Аваст поставил приятель методистки, почему-то считавший себя программистом.

Наблюдаю за работой вечного двигателя.

Дропбокс выкачивает файл в кэш. Антивирус его удаляет. Дропбокс, не обнаружив файла, качает его опять; антивирус тут как тут… Уже три часа забавляются. Где к ним подключить генератор?

Будучи юниксоидом и админом с десятилетним стажем, я никогда не использовал антивирусы и не рекомендовал их пользователям. В качестве аргумента приводил и привожу наглядную аллегорию.

Представьте, что компьютер с Windows и вашими данными — это некий реальный объект в виде здания. Вместо трёхметрового забора с кольями и электрической защитой вы имеете хилый штакетник с дырками и завалившимися столбиками. И что вы делаете, установив антивирус? Нанимаете охранника, который ходит по периметру штакетника и охраняет здание. Его могут стукнуть сзади по кумполу, он может попросту не успеть добежать или не увидеть атаки. К тому же охранник жрёт за двоих: деньги за лицензию, оперативку и процессор.

Установленный антивирус внушает ложное чувство безопасности. Особо популярный продукт лаборатории, любящей делать громкие необоснованные заявления, вообще злоупотребляет положением охранника и позволяет себе копаться в грязных вещах хозяина и наводить порядок внутри здания. В частности, недавно был схвачен за руку, некорректно конвертируя кодировку пришедшего HTML-письма. Стыд и срам.

Новые версии винды не отстают в маразме и придумывают смешные системы вопросов-ответов над дырами в заборе, которые призваны осложнять жизнь разве что хозяину.

Вместо этого я предлагал и предлагаю всем быть рачительным хозяином на своей территории: хотя бы просто латать дыры в штакетнике и выравнивать столбики.

Вирусы, как и примерные злоумышленники, недалеки в развитии и ходят по небольшому количеству протоптанных тропок через малое количество общеизвестных дыр в заборе. Примерно раз в пару лет осваивают одну новую: так сказать, гордо эволюционируют.

Лезут через макросы? Запретите запись в папку с normal.dot на уровне NTFS.

Пихаются в автозагрузку при входе в систему? Настройте в реестре эти ключи только для чтения. С ассоциацией EXE-файлов та же история.

Бывают двуглавые змии, которые запускают сразу два процесса: каждый следит за жизнеспособностью другого. Морозим через нормальный диспетчер задач обе головы и отрубаем поодиночке.

Срут на сетевые шары? Отключаем шары у обычного пользователя, удаляя сервис Server в реестре. Устраиваем файлопомойку на Юниксе, в Самбе рубим возможность записи экзешников в шару. Заодно управляемость повышаем, резервное копирование упрощаем и утечки информации блокируем.

Автозапускаются с флешек? Отключаем автозапуск со съёмных носителей.

Невозможно прекратить процесс вируса? Переименовываем экзешник и перезапускаем систему — готов, выносите ногами вперед.

В результате выравнивания штакетника вирусные атаки обходили стороной мою сеть на 70 компьютеров на протяжении семи лет. У обращавшихся знакомых все вирусы я удалял сам, вручную, без всяких антивирусов.

На днях знакомый притащил ноутбук с виндой, установленным популярным антивирусом и свежими базами к нему, в которой почти все приложения зависали в неопределённые моменты. Первый диагноз: система полумёртвая, на переустановку. Присмотревшись внимательнее, заметил, что половина сервисов не поднята, а один из них в состоянии Starting. Идём к EXE-файлу, смотрим свойства и описание, понимаем, что вирус, перегружаемся в безопасный режим, отключаем автозапуск сервиса, открываем экзешник в блокноте, кидаем пару символов в тело файла. Вуаля! Подпорченные файлы с вирусами удалять не стоит: большинство «инсталляторов» вирусов, увидев родной файл на нужном месте, тупят и успокаиваются.

Недавно починял сестре систему. Откуда-то явились в не так давно поставленной «хрюше» несусветнейшие тормоза. Я пользователь не такой уж тёртый, но основные ошибки сестры здорово напоминали мои в прошлом, поэтому понадобилось лишь немного времени, антивирус и чистилка реестра. После работ не удержался и послал сестре в «контакт» следующий текст. О, если бы мне попался подобный пятью годами раньше!..

Доброго дня тебе, Сестра!

Ныне очистил я от скверны систему твою и воскресил браузер твой, но дабы и впредь были они в порядке и добром здравии, соблюдай неуклонно заповеди сии.

1. Возлюби антивирус свой, дабы хранил он тебя в сети, Интернетом рекомой, и за её пределами.

2. И да не будет у тебя иных антивирусов пред лицом его.

3. Регулярно приноси покаяние антивирусу своему и жертвуй ему обновления свежие, ибо в нём — защита и надежда системы твоей.

4. Не запускай программ и приложений неведомых, из источников неверных полученных, ибо даже кошку сгубил порок любопытства чрезмерного.

5. Не инсталлируй всуе, ибо сие есть грех пред системой мерзкий и губительный.

6. Да не убий программ и приложений без должного повода.

7. Но если есть повод к сему, то да не дрогнет рука твоя.

8. Да не убий программу ни прямым удалением, ни деинсталлятором её, ибо сохранится в реестре жаждущий мести дух её и проклянёт систему твою.

9. Но используй CCleaner, ибо упокоит он души убиенных программ навеки.

10. Если же вновь согрешила — покайся перед CCleaner’ом, и да очистится им система твоя и реестр её.

11. Но не должно тебе каяться перед Microsoft, даже если соблазняет тебя на то система твоя, ибо сие есть компания злонравная и впавшая в великую ересь.

Следуй сему неуклонно, и снизойдёт благодать на систему твою — не сокрушится здравие её и велико будет долголетие.

Чистил систему. В карантине Нода накопилось более двух гигов заразы. Решил почистить. Открыл Нод, карантин, выделил всех тварюшек — и нажал «Восстановить и исключить из сканирования» вместо «Удалить».

Остатки винды догрызают червячки. Я хочу в отпуск.

Сегодня ваял очередную программу. Вдруг вспомнил, что вчера обновил Аваст, и захотел взглянуть, как у него там дела. Открыл. Через мгновение появилось окошко о рекомендации перезагрузить компьютер. Я отказался — и через мгновение система с фейерверком упала в BSoD (давно его не видел) с ошибкой в службе Аваста, похоронив последние изменения в коде. Вот такая политика антивируса: не хочешь — силой заставим.

Пришел на вызов: говорят, не работает видеокарта. Пока проверял, все ли провода подключены, зазвонил телефон.

— Здравствуйте, это вы?

Я немного опешил.

— Да, это я.
— О, вы у нас много раз были. У нас робот перестал выскакивать, когда вас ждать?

Ага, у людей антивирус скончался.

— Сегодня могу примерно после шести.
— Отлично, всё, мы вас ждём, — сказали на том конце и положили трубку.

Я не знаю, куда идти; перезвонить людям не могу, потому как номер у них скрыт. А хуже всего то, что я уже полгода не хожу по частным заказам.

Позвонил друг из армии. У его родителей накрылся комп, и он попросил переставить систему и всё настроить. Никаких проблем! В тот же день приезжаю, осматриваю пациента, начинаю спасать семейную коллекцию фоток и всяких документов. Родители друга из любопытства наблюдают за работой.

Следует отметить, что и я, и мой друг — музыканты. А мне как раз понадобился бубен (обычный такой перкуссионный инструмент, никакой мистики), который лежал где-то дома у друга.

Возникла небольшая заминка с установкой антивируса. Тут я вспоминаю о том, что хотел заодно забрать бубен, и прошу родителей найти инструмент. Через две минуты они протягивают его мне — и в этот самый момент антивирус сообщает о удачной установке. Поворачиваюсь и наблюдаю глаза размером с небольшие блюдца, как у детей, увидевших живого Деда Мороза.

— Мы думали, это шутка такая среди компьютерщиков, что бубен нужен для работы!

На втором курсе института написал я вирус в качестве курсовой работы по ассемблеру. Вирус был простым, как тапок: обычный COM TSR для реального режима x86 под DOS. Занимался он исключительно собственным размножением методом «подселения» ко всем найденным на разделе исполняемым файлам *.com, причём с файлами больше 64К работать не умел. Ничего вредного вирус не делал.

Работавший в те времена на моём компьютере антивирус был достаточно свежим (базы обновлял регулярно) и довольно эффективным — по крайней мере, «Чернобыль» из Windows 98 выковыривал быстро и качественно. Так вот, хоть модуль эвристики в антивирусе и присутствовал, но ни модуль «утки-подсадки», ни уже заражённые файлы он не определял. Мой вирус не общался с жёстким диском напрямую, а работал, как и все нормальные программы для DOS, через функции прерывания 21. Короче говоря, я был страшно горд, что написал вирус, который не обнаруживал надёжный антивирус, да ещё и небольшого размера — 1300 байтов с хвостиком.

Обновлённый до следующей версии антивирус уже определял моё детище как «возможный COM TSR вирус». Ещё через одну версию антивирус не только выдал табличку «Опасность, COM TSR вирус» при очередной проверке, но и правильно вылечил все заражённые файлы и удалил откомпилированный заражающий модуль. Мало того, этот крайне дотошный «антизверь» нашёл в одном из моих архивов исходный текст на ассемблере и снёс его во время той же проверки. Ни исходный текст, ни код самого вируса, ни заражённые файлы я никуда не отправлял и ни с кем ими не делился — только на защите преподавателю показывал.

С тех пор я не меняю этот антивирус ни на какой другой, только на новые версии перехожу. Проверил бы современную версию «на вшивость» своим старым добрым резидентом, да вот незадача: распечатки не сохранились, а все электронные копии были уничтожены предшественниками.