|
*** …Давно уже не секрет, что антивирусные вендоры используют в своих продуктах rootkit- и bootkit-подобные технологии (одним из первых на это обратил внимание в 2005 г. Марк Руссинович, Mark Russinovich).
В этом нет ничего удивительного и предосудительного: для эффективной защиты – нацеленной в числе прочего на упреждение вредоносного программного обеспечения (превентивные методы защиты) – антивирусы должны грузиться не после загрузки операционной системы, а вместе с нею (в идеале – даже до загрузки ядра ОС), чтобы иметь возможность проверки основной загрузочной записи (Master Boot Record, MBR) и проверять – по мере загрузки – доброкачественность загружаемых драйверов/служб/программ/файлов. Когда система загружена, антивирус – в числе прочего – должен иметь доступ как ко всем файлам (включая защищенные системные файлы), так и ко всем системным функциям. Если эти условия не выполняются, эффективность современного антивируса близка к нулю.
Удивляет другое. Понятно, когда интернет-СМИ раздувают вышеупомянутый факт, выставляя производителей антивирусов в невыгодном свете, – едва ли не сравнивая их с вирусописателями! – но на то они и СМИ, чтобы раздувать из мухи слона и выуживать жареные факты!..
Но когда представители антивирусных компаний, надувшись и обидевшись, заявляют, что их упреждающие технологии не имеют ничего общего с технологией руткитов и буткитов, – это, по меньшей мере, не соответствует действительности!..
Настоящая проблема этого явления, на мой взгляд, лежит совсем в другой плоскости: некоторые модули современных антивирусов остаются в системе даже после корректной унинсталляции программы. Как правило, они грузятся вместе с ядром операционной системы, а удалить их нельзя ни с помощью файловых менеджеров, ни с помощью других антивирусов, – то есть фактически эти модули обладают теми же свойствами, что и вышеупомянутые руткиты и буткиты.
Приведу два примера из своей практики. После запуска сетевого антивируса Dr.Web CureNet! антивирус Panda обнаруживает укоренившийся в системе модуль самозащиты Dr.Web (DrWeb Protection for Windows; 100КБ; \WINDOWS\system32\drivers\dwprot.sys) – «подозрительный» файл, действующий на уровне ядра ОС, – но не может его ни просканировать, ни удалить, о чем делается соответствующая запись в системном журнале событий…
Другой пример. После использования антивирусной утилиты AVZ в папке \Windows\System32\drivers\ «навечно» остаются следующие файлы: • 7367320.sys (304КБ; Klif Mini-Filter [fre_wlh_x86]); • 73673201.sys (125КБ; Kaspersky Unified Driver); • 73673202.sys (36,5КБ; Kaspersky Lab Boot Guard Driver).
С пристрастием «поковырявшись» в системе после удаления любого brand-name-антивируса, можно обнаружить подобные файлы. Не зря же почти каждый антивирусный вендор выпускает специальную утилиту для чистки операционной системы после удаления своего антивируса, – но даже после использования этих фирменных утилит некоторые файлы удаленных антивирусов (а также записи в Реестре) остаются!..
Примечания 1. Руткит (англ. rootkit; от root – корень, основа; корневой, основной; корневой каталог + kit – сокращение от tool kit – набор инструментальных средств, инструментарий) – программа, выполняемая в виде драйвера ядра операционной системы (kernel mode driver). Руткит использует всевозможные технологии маскировки и сокрытия различных системных объектов (драйверов, процессов, сервисов, параметров Реестра, файлов, открытых портов и т.д.), активно используемых вредоносным программным обеспечением.
2. Буткит (англ. bootkit; от boot – загрузка, начальная загрузка системы + kit) – загрузочный руткит, заражающий загрузочный сектор диска ПК. Буткит загружается до запуска операционной системы (и антивируса), это позволяет ему контролировать системные функции и скрывать свое присутствие в системе.
В последнее время руткиты и буткиты всё шире применяются злоумышленниками для сокрытия присутствия на зараженных ПК вредоносного и шпионского программного обеспечения.
Валерий Сидоров
*** • Как бороться с загрузочными вирусами? • Windows: Дело о загадочных файлах 7367320.sys, 73673201.sys и 73673202.sys • Как отключить загрузку файла dwprot.sys, или Оборотная сторона тестирования антивируса «Доктор Веб» • Безопасен ли «антивирусный» скрипт usb.wsf? • Windows: как предотвратить автозапуск вирусов, использующих файл autorun.inf? • Как уничтожить вирус Penetrator? • Почему она этого не любит, или Снова о Windows • Windows: как удалить файлы и папки с «неправильными» именами? • Windows: как работать с командной строкой? • Дело о таинственном проникновении Гали на панель Проводника Windows
|
18+
© 2014. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!