Написал я скрипт, который скачивает с сайта N архив X.zip, распаковывает его, а также качает программу Y.exe всё с того же сайта. В итоге антивирус на букву «K» начал подозревать этот скрипт на вирус, забрал в карантин и не желал отдавать.
Хорошо, что была копия. Загнал её на VirusTotal. Итог: 4 из 42 антивирусов подозревают его как HEUR:Trojan-Downloader.Script.Generic, Heuristic.LooksLike.Win32.Suspicious.B, VBS/Psyme и HTML.Psyme.Gen. Вот так и автоматизируй свою деятельность!
Работаю у местного провайдера. Числюсь сисадмином, но выполняю работу саппорта по вызову.
Как-то звонит один абонент и говорит, что у него ничего не работает. Наши посмотрели — пинговать не пингуется, МАС молчит, тишь-благодать, ничего не видать. Дали мне заявку.
Прихожу, сажусь за комп и понимаю, что где-то собака зарыта близко. Смотрю в трей — а там бледный значок KIS. Открываю — точно: срок пробника прошёл, и KIS заблочил всё на фиг. Удаляю, а абоненту говорю, чтобы купил себе антивирь без файрвола, ибо сам он его не настроит должным образом, а нам геморрой лишний не нужен. «А что это вы мне купить предлагаете? В интернете всё бесплатно лежит». Обьясняю, что пиратство карается, одеваюсь и ухожу.
Возвращаюсь в офис — саппорт в лёжку, начальник плачет. Спрашиваю, что случилось. Говорят, звонил абонент и жаловался:
— Пришёл ваш мастер, убил Кашпировского и сказал, что у меня неправильный Кашпировский, с огоньком, а мне надо без огонька, и ещё я должен заплатить деньги, иначе Кашпировского не оживить.
Появилось дикое желание вернуться и попросить отсыпать.
Наши предки брали с собой кроличью лапку, оберег или иконку, а теперь ставят лицензионный антивирус. Но защищает антивирус только от уже известных бяк. Конечно, все антивирусные компании заявляют, что их разработки самые лучшие и уж точно защитят ваш компьютер. На фоне таких победных реляций особенно эпично выглядит история о Rustock на сайте не самой последней антивирусной фирмы.
Это же подтверждает и моя практика: как ни настраивай Windows, при всех последних обновлениях и ПО, и Windows, и антивируса раз в месяц хотя бы кто-нибудь да и схватит заразу. А запретить «контактики» и «одноглазники» мешает специфика нашей работы. Поэтому пришлось продавливать линуксизацию хотя бы части компьютеров.
Хотя, конечно, есть и анекдотичные случаи. Как-то вызывают меня для лечения страшного вируса-вымогателя. «WTF?! — думаю я. — Там же Деба стоит!» Оказалось, нарвался на вымогатель, сделанный в виде всплывающего окна на JavaScript. Естественно, закрыв браузер, мы убили «страшный вирус», но с тех пор на всех компьютерах стоит NoScript, чтоб люди не пугались.
Соболезную тем, у кого антивирус мешает нормальной работе своими сообщениями, но ведь даже в них есть смысл.
Звонок на сотовый в три часа ночи: один юзер, которому я устанавливал на днях лицензионный антивирус, скачал и поставил себе винлокер. Опущу реплики по поводу содомии, которую юзер увидел на экране, о том, что увиденное он хочет повторить со мной, с разработчиками антивируса и зачем-то с Биллом Гейтсом. Ладно, его сексуальная ориентация меня не касается — вежливо отказываюсь.
Спустя полчаса пошаговых инструкций всё-таки удалось откатить систему и запустить проверку файлов антивирусом. Вроде бы проблема решена, но стало мне любопытно, где же и как он раздобыл этот троян, а также почему антивирус (которым, кстати, пользуюсь и я) допустил такое непотребство. Прошу скинуть мне ссылку на сайт и дать название программы, которую он качал.
В виртуальной машине иду на сайт. Вижу предупреждение о том, что опасно заходить на плохие сайты. Пропускаю предупреждение мимо ушей, лезу дальше и начинаю скачивание, но не тут-то было! Антивирус спрашивает меня: зачем я качаю эту бяку? Она же нехорошая, может сделать гадости на моём компьютере. Что? Он смеет мне перечить? Хочу и качаю!
Запускаю экзешник, но установка блокируется, а антивирус орёт благим матом: «Хозяина-а-а! Не надо, не позволяй этой гадости устанавливаться, это нехорошо!» — и, как неразумного ребёнку, добавляет: «А чтобы ты не пытался больше сотворить зло над системой, заблокирую-ка я доступ».
Вытаскиваю троян из карантина, добавляю в исключения, всё-таки устанавливаю. И… ничего. Вспоминаю, что некоторые винлокеры срабатывают только после перезагрузки. Ну, это уже мелочи, минутное дело. Вот он, момент «X», уже приветствие Windows вылезло на экран. И снова ничего. Только антивирус моргнул окошком, что зараза не пролезла, что он её остановил при перезагрузке.
Так и не смог я установить дрянь. Как у юзеров-то выходит?
Сонно брожу по бескрайним просторам интернета. На одном из не сильно чистых (судя по голым частям тела на баннерах) сайтов, куда занесла меня нелёгкая за дремучей версией одной уже давным-давно снятой с поддержки программы, мне предлагают установить самую распоследнюю версию Google Chrome с усиленной антивирусной защитой. Сообщение умело замаскировано под «официальные» цвета браузера, но я его игнорирую. Тут же срабатывает Касперский и грозно матерится на трояна. «Ага, — думаю, — очередной Винлок запалился!»
Понимание приходит за полсекунды до нажатия кнопки «Запретить» в окне уведомления. Какой, к матери, Касперский, когда у меня дома стоит Dr. Web?!
Впервые я зауважал пакостников: ведь сидел бы с рабочего компа, где установлен Каспер, — купился бы на эту уловку и нажал бы «Запретить», а там кто знает реальное назначение той кнопочки…
Меня наш корпоративный антивирус просто убивает своей логикой.
— В «темпе» что-то похожее на трояна! Закрою-ка я к нему доступ.
Через пять минут:
— В «темпе» что-то похожее на трояна! Попытка вылечить провалилась: в доступе отказано.
Какие программисты писали это чудо? Руками починить тоже нельзя: доступа к карантину и отключению антивиря у юзеров нет, вот и лежит несчастный заблоченный файлик в «темпе», а антивирь на каждую попытку его полечить сам себя по рукам бьёт.
Дело было в начале века, когда в нашем городе про интернет знали, что он есть, но его мало кто видел, а ещё меньше представляли, что это такое. Работал я тогда в небольшой конторе, которая занималась изготовлением всякой рекламной полиграфии и попутно содержала небольшой компьютерный клуб на пару десятков машин.
Заходит к нам (почему к нам — до сих пор загадка) семейство и просит антивирусную плату «Доктор Веб». Именно плату, стандарта PCI.
— А зачем вам антивирусная плата? — Ну как же! Чтобы вирусов не было! — (Удивлённо и завистливо.) У вас есть дома интернет? — Интернета нет. — Тогда откуда вирусы? — Из сети. — Из какой сети? — Как из какой? Двести двадцать!
После непродолжительного нечленораздельного бульканья со стороны рабочего места нашего админа на свет была извлечена здоровенная нерабочая ISA-шная «антивирусно-звуковая плата» производства фирмы Creative с позолоченными разъёмами, выглядящая крайне внушительно. К предложению купить чудо инженерной мысли за энную сумму и самостоятельно обработать гребёнку контактов до размеров PCI-слота семейство отнеслось настороженно и, посовещавшись, свалило. Очевидно, их спугнуло заново начавшееся хрюканье админа и выражение безраздельного счастья на лице моего коллеги. Спалились.
Начинаю устанавливать жёлтую программу. Втыкаю флешку с лекарством, только начинаю копировать — и вдруг важный лекарственный файл hserver.exe словно корова слизывает языком. Вылазит антивирус (не буду называть) и гордо рассказывает, что файл был подозрителен, поэтому он удалён с моего носителя безо всякого спроса. Какого хрена? Хорошо, копия была.
Прихожу в контору. Говорят, с флешками что-то не так. Ну да, не так: стоит флешку сунуть, как на ней появляется авторан и мелкая пакость в скрытом каталоге. Вылечить-то не проблема, но присматриваюсь к машине — а на ней стоят аж два антивируса. Что они там делают? Устаревшие? Нет. Хочу удалить авторан руками. Тут же один из антивирей кричит: «Гадость! Не трожь!» — и блокирует файл. Не удаляя и даже не предлагая, зато не давая его удалить мне. Ну что это за поведение тупорылое?
Скажете, тот, кто их ставил, так тупо настроил? Да нет, я знаю, что ставили их люди нелюбопытные и неграмотные, в настройки не лазящие.
Ребята, я не админ, с компьютерами постольку-поскольку. Но мне почему-то кажется, что антивирусы не должны без спроса удалять файлы. И не должны пускать вирус на машину, если знают его. И должны лечить вирус, раз уж обнаружили. И так далее.
В последнее время, когда меня просят глянуть на машину, плохо себя ведущую, первым делом я удаляю с неё антивирусы, вторым запускаю заранее подготовленный REG-файлик, отменяющий автозапуск со съёмных носителей, третьим прошу пользователей не лазить по порнухе и ничего не запускать «из интернета». И всё: машина на годы является беспроблемной. А такие антивирусы, извините, в топку.
