Отзыв о сайте

Троянские антивирусы

С компьютером автор этой заметки знаком уже не первый год и большую часть этого срока, как и многие другие пользователи, приходилось думать о защите компьютера, данных и денег.

С компьютером автор этой заметки знаком уже не первый год и большую часть этого срока, как и многие другие пользователи, приходилось думать о защите компьютера, данных и денег. Все хлопоты сводились к простым процедурам: не долго думая, всегда шел на известный сайт с варезом и качал нужный антивирус, к нему обычно шла таблетка или ключи. Ключи обычно на какую-то конкретную версию, а на сайте разработчиков всегда новая версия, которая еще и обновляется каждый месяц или неделю, поэтому скачав программу с сайта разработчиков, ключей к ней найти совершенно нереально.  Приходится выкачивать  и то и другое с файлообменников. А ключи, плюс ко всему, живут обычно не долго, приходится вновь и вновь пролезать сквозь горы порнухи для поиска нужного. Обновление антивируса и в меньшей степени баз - отдельная и трудоемкая история. А сам антивирус довольно часто обновляется, модернизируясь под новые угрозы. 

Не так давно, после установки свежего фаервола, стал замечать подозрительную активность компьютера в сети. До этого стоял OutPost и почему-то не показывал такой активности. Были обнаружены несколько подозрительных файлов в каталоге C:\Windows. Антивирус молчал. Решил установить другой, деинсталлировал NOD и поставил свежескачанного с варезника Касперского. Так же никакой реакции. После этого перебрал еще несколько антивирусных программ - результата не было.  Как потом оказалось - через меня вовсю отсылался спам.

Но программиста не так просто сломить:) После многих часов отладки в дебаггерах целой кучи накачанных антивирусов и таблеток к ним было обнаружено, что:

1. Часто файлы самих антивирусов не совпадают с официальными релизами, это уже подозрительно. Не все удавалось проверить, т.к. на официальном сайте версия уже давно сменилась например. Для проверки хешей (MD5 и SHA1) файлов рекомендую использовать программу DivHasher.

2. Во всех рассмотренных экземплярах был вредоносный код. Пусть дебаггер и не давал точной информации, но этого было и не нужно, все было слишком очевидно. Это были средства рассылки спама, комплексы организации DDOS-атак(это очень сильно кушает трафик), простые шпионы(снимали нажатые клавиши, входящие письма, формы ввода пароля на сайтах и FTP) и по всей видимости это не полный список. При загрузке таких файлов на сервисы массовой проверки файла на наличие вирусов множеством антивирусов, некоторые замечания от нескольких антивирусов случались, но не критические.

3. Разные проверенные программы взлома  9 из 10 несут в себе угрозы, совершенно разные, описанные во втором пункте. Этот софт самый наглый, но часто определяется антивирусом, но тут опять замкнутый круг.

Почему-то только после этих открытий подумал, что это вполне закономерно. Когда были пиратские диски - зарабатывали на дисках, а теперь, когда программы можно просто скачать, ведь тоже нужно зарабатывать как-то на жизнь. А здесь идеальный вариант - никакой ответственности(кто же с пираткой пойдет в милицию), массовая рассылка софта и добровольная установка пользователями. Файлообменники зарабатывают на рекламе и платных аккаунтах, а сайты-распространители  зарабатывают на рекламе  порно и иногда вирусов под Opera, IE или Firefox на самом сайте.

Ну и главное - эти трояны почти не имеют шансов попасть в антивирусные базы, т.к.:

1. Пользователь пиратки не отправит файл для разбора разработчику антивирусника. Как вообще зараженный файл может попасть разработчикам антивируса? А пользователю ведь нужно еще докопаться до того, что там сидит вирус. Еще один замкнутый круг.

2. Даже если что-то прорвется, что весьма маловероятно в силу специфики, не думаю, что троян внесут в антивирусные базы. Мне так кажется. 

Таким образом получается очень красиво и остроумно, приносит десятки тысяч у.е. всем звенья цепочки. Сидит такой пользователь за фаерволами и антивирусами, обезвреживает вирусы и фильтрует трафик, чувствуя себя в полной безопасности, а небольшой участок кода приложения заменяет собой все остальные угрозы.

Поэтому с тех пор считаю, что антивирус - это та часть системы, пусть единственная, которая должна быть 100% чистой и лицензионной. Выбор за вами, надоедливо советовать какой-то конкретно не буду, сам привык к NOD32.

От редактора сайта:

Добавлю немного рекламы, что бы скучно не было.

Самые популярные антивирусы со скидками: Eset NOD32, Антисирус Касперского , Dr.Web

Обсуждение
Гость написал(а):
Зачем же ложат сыр в мышеловку? Покормить мышку?
Дело Мавроди процветает.
Гость написал(а):
Romline, круто. Ключи очень бывают нужны. А методы альтернативного обновления это: личные FTP, локальные папки с обновлениями, сменные носители. Если антивирус пишет что софт "HackTool.Win32.Kiser" и подобное, не страшно это стандартная реакция на активаторы. Особенно устрашающе пугает AVAST PRO про кейгены, называет их троянами. Статья пиар.
Гость написал(а):
Реклама лицензионного софта, причем наглая...
Гость написал(а):
Набираем в Яндексе "касперский ключи".
Сразу читаем на kis-keys.nnm.ru каммент:
  Каспер ругается, что в архиве вирус: вредоносная программа HackTool.Win32.Kiser


Загружаем на http://www.virustotal.com/ru/ остальные найденные архивы - получаем тот-же результат от разных антивирусов.

А сколько их необнаруженных-то гуляет, далеко не обо всех знает антивирус, вот и думай тут.
Роман написал(а):
Про стыд и совесть действительно ничего не сказано.
Есть простой факт - кучи спама в почтовых ящиках, кражи аккаунтов, развод на SMS и прочее. Тысячи людей, любитилей сыра, используются самым некрасивым образом.
В доказательство можете заглянуть на любой хакерский форум. Ценники вполне можете оценить и масштабы.
Гость написал(а):
Знакомые напевы... как много их было...

"Вы должны покупать только лицензионный софт, потому, что в пиратском содержится вредоносный код"
"Вы должны покупать только лицензионные диски, поскольку пиратские портят дисководы"
"Вы должны, ...."
"Вы обязаны, ...."
"Вам должно быть стыдно..."

При этом, ковыряются долбагерами во вредоносном коде, разбираются в нем досконально, но результата исходников не представляют на суд общественности. Дескать, я во всем разобрался! ТАк и есть! Доказать? Пожалста! Мля буду!!!

И все доказательство...