Случилось так (так должно было случиться), что компьютер моей приятельницы подцепил заразу, известную под именем WinLock. Да-да, ту самую "после просмотра нехорошего видео Ваш компьютер заблокирован, срочно грузите апельсины банкоматами, а то уничтожим весь лак на материнской плате". Казалось бы, при чем тут Лужков зачем об этом писать ? Но писать об этом нужно, поскольку:
1. Компьютер был "защищен"антивирусом Avira. Нет, вы неправильно подумали, базы обновлялись и на момент заражения были свежайшими.
2. По моему совету приятельница сразу же воспользовалась диском аварийноговосстановления системы обнюхивания файлов Dr.Web® LiveCD . Скан длился 18 часов !!! (медленный комп, много мелких файлов), вердикт - вирусов нет.
Через неделю после заражения пришлось самому взять в руки шашку. После загрузки со своего диска в реестре немедленно была обнаружена известная запись Shell="C:\Program Files\Mozilla Firefox\<набор цифр>.exe". Запись была изменена на правильную Shell="explorer.exe", компьютер загрузился нормально. От греха подальше была скачана и запущена свеженькаялечащая утилита Dr.Web CureIt!®. Всего 1.5 часа позора, и знакомый вердикт - вирусов в системе нет.
Но ветер дул не с той стороны, и праздник в Вилла Баджио так и не наступил. Во-первых, в меню "Пуск" явно не хватало нужных пунктов, в частности - "Выполнить". Это мы проходили, это лечится путем удаления созданных вирусами ограничивающих права ключей реестра, это мы быстро. Во-вторых, что значительно печальней, выяснилось, что доступ к ряду ресурсов, таких как: microsoft.com, virusinfo.info и т.п. благополучно заблокирован. Причем заблокирован намертво - файл hosts чист, перманентых маршрутов не прописано, левых DNS не подставлено. Путем пристального гугления я вышел на след трояна Win32.Kido, скачал лечащую утилиту от Касперского (кто бы мог подумать !), которая благополучно нашла и вылечила троян.
Как вы понимаете, в результате у меня не могло не накопиться ряда вопросов и замечаний к очень интересным продуктам от Avira и DrWeb, в особенности хочу поинтересоваться:
а) Зачем нужен антивирус Avira, если в результате в системе два очень неслабых трояна ? Не лучше ли огромные ресурсы, потраченные разработчиками на разработку данного "продукта", а пользователями - на его эксплуатацию и оплату, потратить... ну, например на покупку заплатки для озоновой дыры ?
б) Зачем нужны "бесплатные" (время тоже стоит денег) "лечащие" утилиты от DrWeb, если они по факту ничего не лечат и не находят через неделю после заражения компьютера WinLock'ом, и Данилов знает через сколько времени после заражения Win32.Kido? Не лучше ли огромные ресурсы, потраченные разработчиками на разработку данных "продуктов", а пользователями - на их эксплуатацию, потратить... ну, например на покупку краски для окрашивания антарктических льдов в белый цвет ?
в) Почему в 2011 году одной из ведущих (судя по всяким "тестам" и "рейтингам") компанией DrWeb для поиска вирусов используется исключительно технология имени 1995 года "сравним 100.000 файлов по 100.000 сигнатурам", а элементарная операция проверки важнейших ключей реестра не выполняется ? Замечу, что эта нехитрая процедура разом и вылечила бы уже имеющуюся заразу, и с успехом бы предотвратила заражение любой подобной заразой в будущем (будучи примененной в real-time мониторе), и даже - о какой класс ! - сигнатура которой еще неизвестна. Вы скажете, таких ключей реестра много ? Но на добавлять десятки-сотни сигнатур в сутки у них ресурсы ведь нашлись ?
Какие можно сделать выводы из этой интересной истории ? Да, собственно, очень простые: современные антивирусы ровно ни на что не годятся, кроме как на очередном конкурсе и на тестовом наборе вирусов благополучно обнаружить и вылечить (?) какое-то их количество дедушкиным методом сопоставления по сигнатурам. Занявшие призовые места довольными и слегка пьяными расходятся по домам... Возможно, это не относится к антивирусу Касперского, которым я из давней нелюбви к этому продукту и не пытался проверить зараженную систему. В конце-концов, именно их утилита вылечила компьютер окончательно. Вот только у меня большое подозрение, что в реальной жизни их продукт реагирует на угрозы ровно так же как и упомянутые два неоднократных победителя всяческих конкурсов и тестов...
PS А пролезла зараза, судя по всему, через древнюю версию Firefox 3.5.5 с отключенным обновлением.
1. Компьютер был "защищен"
2. По моему совету приятельница сразу же воспользовалась диском аварийного
Через неделю после заражения пришлось самому взять в руки шашку. После загрузки со своего диска в реестре немедленно была обнаружена известная запись Shell="C:\Program Files\Mozilla Firefox\<набор цифр>.exe". Запись была изменена на правильную Shell="explorer.exe", компьютер загрузился нормально. От греха подальше была скачана и запущена свеженькая
Но ветер дул не с той стороны, и праздник в Вилла Баджио так и не наступил. Во-первых, в меню "Пуск" явно не хватало нужных пунктов, в частности - "Выполнить". Это мы проходили, это лечится путем удаления созданных вирусами ограничивающих права ключей реестра, это мы быстро. Во-вторых, что значительно печальней, выяснилось, что доступ к ряду ресурсов, таких как: microsoft.com, virusinfo.info и т.п. благополучно заблокирован. Причем заблокирован намертво - файл hosts чист, перманентых маршрутов не прописано, левых DNS не подставлено. Путем пристального гугления я вышел на след трояна Win32.Kido, скачал лечащую утилиту от Касперского (кто бы мог подумать !), которая благополучно нашла и вылечила троян.
Как вы понимаете, в результате у меня не могло не накопиться ряда вопросов и замечаний к очень интересным продуктам от Avira и DrWeb, в особенности хочу поинтересоваться:
а) Зачем нужен антивирус Avira, если в результате в системе два очень неслабых трояна ? Не лучше ли огромные ресурсы, потраченные разработчиками на разработку данного "продукта", а пользователями - на его эксплуатацию и оплату, потратить... ну, например на покупку заплатки для озоновой дыры ?
б) Зачем нужны "бесплатные" (время тоже стоит денег) "лечащие" утилиты от DrWeb, если они по факту ничего не лечат и не находят через неделю после заражения компьютера WinLock'ом, и Данилов знает через сколько времени после заражения Win32.Kido? Не лучше ли огромные ресурсы, потраченные разработчиками на разработку данных "продуктов", а пользователями - на их эксплуатацию, потратить... ну, например на покупку краски для окрашивания антарктических льдов в белый цвет ?
в) Почему в 2011 году одной из ведущих (судя по всяким "тестам" и "рейтингам") компанией DrWeb для поиска вирусов используется исключительно технология имени 1995 года "сравним 100.000 файлов по 100.000 сигнатурам", а элементарная операция проверки важнейших ключей реестра не выполняется ? Замечу, что эта нехитрая процедура разом и вылечила бы уже имеющуюся заразу, и с успехом бы предотвратила заражение любой подобной заразой в будущем (будучи примененной в real-time мониторе), и даже - о какой класс ! - сигнатура которой еще неизвестна. Вы скажете, таких ключей реестра много ? Но на добавлять десятки-сотни сигнатур в сутки у них ресурсы ведь нашлись ?
Какие можно сделать выводы из этой интересной истории ? Да, собственно, очень простые: современные антивирусы ровно ни на что не годятся, кроме как на очередном конкурсе и на тестовом наборе вирусов благополучно обнаружить и вылечить (?) какое-то их количество дедушкиным методом сопоставления по сигнатурам. Занявшие призовые места довольными и слегка пьяными расходятся по домам... Возможно, это не относится к антивирусу Касперского, которым я из давней нелюбви к этому продукту и не пытался проверить зараженную систему. В конце-концов, именно их утилита вылечила компьютер окончательно. Вот только у меня большое подозрение, что в реальной жизни их продукт реагирует на угрозы ровно так же как и упомянутые два неоднократных победителя всяческих конкурсов и тестов...
PS А пролезла зараза, судя по всему, через древнюю версию Firefox 3.5.5 с отключенным обновлением.
