Так что при наличии внимания, здравого смысла и хорошего инструмента вы легко завалите относительно крупных и заметных коней. Но среди них попадаются и очень подлые экземпляры, которые вычищать придется долгие часы, зовя на помощь знания о внутреннем устройстве системы. Но в этом случае, возможно, проще дождаться обновления антивирусных баз…

Много хорошо — тоже плохо

Многие по старинке считают, что чем больше, тем лучше. Это касается и пользователей, которые, увидев очередную защитную программу, спешат ее установить. В результате либо ни одна из них на самом деле не работает, либо компьютер «встает на ручник». С недавних пор появился и еще один вариант: ОС не загружается вообще.

Поэтому большинство инсталляторов AV-пакетов первым делом проверяют: а не стоит ли уже другой антивирус? И если таковой находят, то требуют (безапелляционно!) сначала деинсталлировать его. Антивирусы стали «стукаться лбами» не только друг с другом, но и с другими защитными программами (файрволлами, антишпионами, антитроянами, etc.). Их использование стало несовместимо практически с любыми программами, работающими на уровне ядра: отладчик SoftIce, почти все эмуляторы и в некоторых случаях даже антипиратская система проверки оптических носителей компании StarForce.

Вирмэйкеры не стесняются писать свой код так, что он вмешивается в работу ОС на самом глубоком уровне. Разработчикам защитных программ приходится использовать столь же глубокую интеграцию. Усугубляет ситуацию и взгляд компании Microsoft на то, как должно выглядеть ядро ОС. Как известно с незапамятных времен, конструктор достигает совершенства не тогда, когда уже нечего добавить, а когда нечего больше удалить из его творения. К сожалению, ядра в семействе Windows только толстеют от релиза к релизу, вбирая в себя все больше нестабильных компонентов.

Недавно тестовая попытка подружить Zone Alarm Pro 6.5, Norton Antivirus 2005 и Kaspersky Antivirus 5.0 for Workstation привела к невозможности загрузить WinXP. Дело в том, что Kaspersky AntiVirus перехватывал (в режиме ядра!) функции ZwClose, ZwCreateProcess, ZwCreateSection и другие. Norton Antivirus хоть и не имел приказа проверять все «на лету», однако продолжал загружать свои сервисы и действовал аналогичным образом. В общем, говоря бытовым языком, вся эта свора сторожевых псов перегрызлась из-за виндового ядра. Усугубляло ситуацию и то, что ОС была установлена на RAID-массив, загружался модифицированный драйвер nVidia IDE_SW и драйвер a347bus.sys (установленный пакетом Alcohol 120%)…

Сегодня сложилась такая ситуация, что, усиливая malware-защиту, даже опытный пользователь рискует получить проблем больше, чем если бы допустил инфицирование своего ПК.

Неплох следующий вариант: непосредственно во время работы в основной ОС защиту ПК берет на себя либо один софтовый комплекс, либо набор гарантированно бесконфликтных программ. Дополнительные проверки выполняются программами, не стремящимися работать на уровне ядра, или же вообще из-под дополнительной ОС.

ТЕМА НОМЕРА: Плоды конверсии

Авторы: Константин Курбатов, Андрей Васильков

Социальная значимость любого софта зависит не только от целей его создания, но и от целей применения. Так, кухонный нож не только инструмент семейных разборок, но и удобное орудие для нарезки овощей…

Появление троянов, обладающих огромными «административными» возможностями вместе с удобным графическим интерфейсом на стороне клиента (откуда, собственно, и направляются их действия), привело к тому, что этими «вредными» возможностями стали пользоваться не только злоумышленники.

Как-то довелось общаться с системным администратором, который использовал Back Orifice для управления компьютерами в корпоративной сети, чьи пользователи часто требовали внимания. «Чтобы через весь коридор не бегать к ним из-за очередного пустяка», — улыбаясь, пояснял он за рюмкой чая.

Другой приятель возлюбил утилиту Hidden Camera, которая позволяла видеть в режиме реального времени все, что происходит на «рабочем столе» удаленного компьютера. Очень удобно, знаете ли, позвонить сотруднику с другого этажа и подсказать, как побыстрее разложить пасьянс, — надо же помочь ему поскорее взяться за дело, которое вы и поручили…

KGBSpy — хакерская утилита. Такие приложения, часто являющиеся полезными при корректном применении, могут быть использованы и для причинения вреда. Утилита записывает все нажатия на клавиши, однако сохраняет в памяти только знаки. Которые затем могут быть отправлены по e-mail или FTP. От относительно «честных» программ она отличается тем, что может быть запущена в скрытом режиме, поэтому KGBSpy быстро попала на карандаш ведущим антивирусным компаниям.