Антивирус

Получил я сегодня такое письмо из техподдержки Касперского:

Здравствуйте.

К сожалению, по причине большого количества обращений в службу технической поддержки, время ответа на ваш запрос № *****, полученный 13.04.2006, составит более 24 часов. Приносим свои извинения за доставленные неудобства и надеемся на ваше понимание. Мы обязательно ответим на ваш запрос!

Данное сообщение является автоматическим и не требует ответа.

С уважением,
Служба технической поддержки Лаборатории Касперского.

Угу. Я за три с половиной года как-то догадался, что в 24 часа они не уложатся, да и антивирус у меня уже давно другой, но хуже всего то, что я даже не помню, что спросить у них хотел.

Всё началось с того, что после входа в систему винда неизменно выдавала сообщение о малом количестве памяти на диске C. Диск, конечно, невелик — 30 ГБ, но от своего раритетного ноута я отказываться не готов. Поначалу на проблему я не обращал внимания, потом стал жать на всплывающее окно для удаления временных файлов. Наконец я не выдержал и перетащил 2 ГБ музыки на флэшку. Это помогло, но через несколько недель свободного места почти не осталось.

Меня осенило: это же наверняка вирус! Он самокопируется и заполняет память. Включаю Касперского на полную проверку, предварительно вручную обновив. Открываю браузер и вижу вместо красочных баннеров и всевозможных картинок только текст и рамки. Всё, думаю, съел вирус мою память.

Решил проверить размер каждой папки на диске C. Ничего себе — Doсuments and Settings весит 21 ГБ! Проверяю каждый подкаталог и нахожу виновника — двадцатигигабайтный Kaspersky Lab.

Дело оказалось вот в чём. Касперский, созданный для того, чтобы комп пользователя не поймал в интернете заразу, считал своим долгом раз пять в день обновлять базы. Обновлялся он уже около года, но по какой-то причине ни разу не стирал временные файлы. Впрочем, свою задачу антивирус выполнил — троянам просто было негде сохраняться!

Поздняя осень, в Питере морозец и морось. Все приличные айтишники перешли на удалённую работу — сидят по домам и болеют гриппом. Я же свою легкую инфлюэнцу стойко переносил на ногах. Ирония в том, что работаю я в антивирусной компании — анализирую продукты конкурентов, пишу заявки на разработку, читаю доклады.

Понёс меня чёрт в пятницу на партнёрскую конференцию — доклад прочитать и вживую с партнерами пообщаться. Много слов было сказано про вирусы живые и компьютерные, много возлияний было совершено перед тем, как ужин сменился развлекательно-тусовочной программой — естественно, с айтишным уклоном.

Ведущий-затейник проводил конкурс «собери компьютер из ведра». Выглядело это так: назначенный «сборщиком» из натурального ведра вытаскивал беджики с буквами и навешивал их на интересные части тел людей из своей команды с комментарием-расшифровкой: «К — клавиатура, П - процессор, Д — динамик, Ч — чип (непонятно, какой, но без чипов компьютер немыслим). К — клавиатура была... Колонки? Снова К? Ну-у, кулер»...

Наша команда победила — пошёл получать призы. Меня одарили миниатюрным дятлом от Касперского, осьминогом-хедкрабом от Доктор Веба и коробкой антивируса Norton 2010. Фото на память: хедкраб на голове, дятел на плече, дядюшка Нортон в руках, а из динамиков визжит та самая свинья. Никогда я ещё не чувствовал себя таким защищённым от вирусной атаки!

На днях наша контора купила энтерпрайзного «Доктора Веба» с трёхлетней лицензией — я как раз занимался этим вопросом.

Вчера вечером вот какой казус приключился. Стою я на углу с букетом в руке, девушку свою жду. Ко мне подъезжает на велосипеде дедушка и спрашивает: «Почем „Вебера“ брали?» У меня в мозгу раздаётся громкий щелчок, за которым прибегает стадо мыслей типа «Кто это? Откуда он знает? Неужели по мне заметно?!» Тем не менее честно называю цену. Сказать, что дедушка офигел — значит ничего не сказать.

В ходе дальнейшей беседы выяснилось, что вебер — это сорт хризантем, которые я держал в руках и которые массово выращивает на продажу дедушка. Вот он и изучал рынок на предмет цены для оптовой сдачи своего товара.

Как обычно ловят вирусы? Правильно, из интернета. А знакомый мой как-то гулял по рязанским лесам и нашёл в траве флешку. Поднял, конечно, в ноут вставил и поймал Trojan.Winlock. И не нужна эта флешка была ему по большому счёту, но на халяву-то?..

У меня дома валяется штук пять флешек от двух до восьми гигов. Стали думать: стоят они 200–300 рублей, а SMS-противоядие от вируса обойдётся по меньшей мере в пять сотен. Разбрасывать флешки по Москве может быть довольно прибыльным делом!

Происходило всё это где-то в пятницу, а в понедельник покалеченный компьютер был у меня на осмотре. Я быстро нашёл генератор ответного кода и вылечил ноут, но знакомый решил флешку не оставлять себе, а от греха подальше отвезти обратно в тот же лес — пусть и другим «счастье» будет...

На факультете вычислительной математики одного крупного вуза есть несколько компьютерных классов с системами под Windows XP. Задания по информатике туда приносят, разумеется, на флешках. Поскольку отключить авторан и запретить запуск программ с флешки в голову никому не пришло, носители в обязательном порядке проверяют на специальном буферном компьютере. Подходишь к бабусе, даёшь флешку, она вставляет её в USB-порт, местный антивирус сканирует её и удаляет все вирусы.

...По крайней мере, идея у создателей системы была такая. Вы уже догадываетесь, к чему идёт дело? Авторан на буферном компьютере тоже не отключили.

Антивирусная таможня уже давным-давно превратилась в вирусную кунсткамеру. На любую вставленную флешку буферный компьютер записывал пакет из нескольких десятков исполняемых файлов и скрытых папок со странными именами. Антивирус на нём кастрирован, слеп, глух и нем; как старый слепой кот в комнате, полной мышей, он не видит ровным счётом ничего. Прорвы вирусов висят в памяти с оружием наизготовку, готовые ринуться на неизведанные территории, как только почуют очередную флешку. Разумеется, если флешка уже была заражена, новый вирус с радостью вливался в дружную семью и распространялся дальше вместе со всеми.

Поломался как-то у нас в офисе принтер. Что-то у него внутри переклинило, и он начал бумагу жевать. Покупали аппарат у довольно неплохой фирмы, на сервис-центр которой никто не жаловался. Вызвали ремонтника, сидим, ждём. Девушкам нашим делать нечего, вот они дурью и стали маяться. Закатывают глазки и томно рассказывают друг дружке:

— А вы знаете, мне наш принтер сейчас очень нравится. Страстный такой. Как закусит бумагу — она вся такая томная из него выходит!
— Ага, и струи-то какие на неё пускает — аж мокрая вся!
— Маньячки вы. Мне вот из наших компьютерных прибамбасов антивирус нравится — настоящий защитник, я за ним как за каменной стеной.

Тут дамы замечают, что в дверях стоит мужичок и ошарашенно наблюдает за балаганом. «Вы к кому?» — спрашивают сотрудницы. Мужчина извиняется и говорит:

— Я из сервис-центра. Моя фамилия Касперский. (С обворожительной улыбкой) Эпсон Струйникович...

Знакомая работет на режимном предприятии в отделе учёта. Однажды пожаловалась мне, что компьютер тормозит — по всем признаком похоже на вирус. Ни разу не обновлённый «касперский», установленный на машине, естественно ничего не находит.

Я сбросил знакомой на флешку Avast и рассказал, как его установить и настроить. Удивительно, но подруга справилась со всем сама. Вирус был убит, комп тормозить перестал. Всё было бы хорошо, если бы не два идиота-админа, работающие на этом предприятии. Увидив, что на компе с отключенным доступом в интернет) нет их любимого «касперского», они попытались удалить Avast и восстановить статус кво. Avast же, заметив, что его пытаются удалить, да еще загрузить на оберегаемый им компьютер непонятную резидентную программу, сразу понял, что к компу подошли люди, руки у которых руки растут из места пониже поясницы, да и мозги находятся там же.

Ппсле восстановления данных, которые эти «одмины» умудрились уничтожить в процессе борьбы, на комп снова был установлен Avast. Теперь нерадивые айтишники даже бояться заходить в эту комнату, и только тихо ворчат про фанатов Аваста, которые делают их работу за них.

Жил-был один парень, назовём его в целях конспирации Лёша. Году эдак в 2001–2002 Лёша очень сильно интересовался всяческим компьютерным хулиганством — началось это с прописывания в автозапуск разных пакостей, а вылилось в желание написать свой Первый Серьёзный Вирус. В качестве учебного пособия использовалось авторитетное печатное издание «Хакер».

Через неделю трудов Лёша написал-таки своего монстра. Задача была простая — убивать исполняемые файлы с расширением «exe». Способ убийства был весьма нехитрым: вирус откусывал определённое количество байтов от конца файла и переносил их в начало. Атакованный файл, разумеется, после этого при попытках запуска выдавал сообщения вроде «Кто я? Где я?», да и вообще вёл себя неадекватно.

Решил Лёша протестировать своё творение. Отключил антивирус и отдал на растерзание какой-то экзешник, который вирус моментально привёл в неработоспособнное состояние. Любопытство было удовлетворено. Лёша ушёл спать, оставив комп в рабочем состоянии с выключенным антивирусом.

Наутро обнаружилось, что вирус вышел из под контроля и поел все экзешники, до которых дотянулся. Каким-то чудом комп сохранял некоторую работоспособность, поэтому Лёша решил на скорую руку вылечить подобное подобным. На скорую руку в код вируса были внесены изменения; вторая версия переносила первые байты в конец.

Процесс пошёл — работоспособность некоторых экзешников вернулась. Но обрадовался Лёша крайне несвоевременно — в коде (анти)вируса не было никакого механизма, позволяющего определить, какие файлы он уже обработал, а какие — нет.

Закончилось всё тем, что совместными усилиями первый и второй вирус нашинковали все найденные *.exe в капусту. Как Лёша с этим справился — неизвестно, но меры наверняка были радикальными.