Почему антивирусы – это плохо. Не устанавливайте

0
19
Почему антивирусы – это плохо. Не устанавливайте

Антивирус – не панацея. Даже обладатели премиум-версий могут оказаться жертвами вирусов, лишиться данных, денег и нервов. Рассказываем, почему антивирусное ПО не всегда выручает и что делать, чтобы не стать жертвой.

Сначала вирус, потом антивирус

Антивирусы появились в ответ на создание вирусов. В целом так происходит и по сей день: сначала вирусописатель создаёт трояна, червя и им подобных. И только потом запись о нём добавляется в базу, разрабатывается лекарство, обновление безопасности для операционной системы и т.п.

Это сигнатурный метод обнаружения – вирус определяется по сигнатуре (описанию) из базы.

Есть, конечно, такая штука, как эвристический анализ, который использует большинство продвинутых антивирусов. В процессе анализа антивирус контролирует все действия, которые выполняет «подопытная» программа. Если обнаруживается подозрительная активность (действия, которые характерны для вирусов), программа блокируется.

Проактивная (поведенческая, превентивная) защита как раз работает на базе эвристического анализа. Она содержит базу данных наборов правил, которые описывают поведение каждой программы: что она должна делать, а что не должна.

При эвристическом анализе и проактивной защите антивирус не сравнивает код с образцом, а исследует поведение программы.

Такой подход позволяет, с одной стороны, снизить нагрузку на ресурсы устройства (потому что проверяется не всё подряд, а только активные программы), с другой – распознать вирусы, которых ещё нет в базе.

А ещё есть веб-защита, блокировка динамического содержимого в браузерах, анализ куков, виртуализация браузера, антифишинг и другие плюшки…

Проблема в том, что на каждую гайку найдётся болт с левой резьбой. Вирусописатели тоже не лыком шиты. Разрабатывая вирусы, они тестируют их на свежих версиях антивирусов, проверяют в сервисе VirusTotal и всячески минимизируют шансы обнаружить своё детище. И маскируются они, надо сказать, здорово, раз вирусы до сих пор повсюду.

WannaCry показал, насколько мы защищены

Атака WannaCry, о которой стало известно 12 мая 2017 года, показала реальную ситуацию с кибербезопасностью в мире. Компьютеры в больницах, школах, полиции, государственных учреждениях, не говоря уже о домашних ПК, блокировались в 99 странах мира. По данным Avast, за первые 24 часа атаки было заражено 100 тыс. компьютеров.

Эксперты заявили: в заражении виноваты сами пользователи. О вирусе стало известно в феврале, в марте Microsoft выпустила обновление, которое не давало заразиться WannaCry. Кто не обновился, получил требование выкупа – 300-600 долларов в биткоинах.

Компьютеры заражались, если пользователи переходили по вредоносной ссылке из e-mail.

Атаку остановили совершенно случайно. Вирус обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и как только автор твиттера @MalwareTechBlog зарегистрировал его на себя, вирус не смог больше работать. Но через время пошла вторая волна атаки – вирус перестал зависеть от сайта.

Помог ли антивирус? Нет, не помог.

Следующей бомбой стал вирус Petya/NotPetya. С 27 июня он наследил в 64 странах. Виноватым назначили софт M.E.Doc. Отключалось всё: банки, кафе, отделения служб доставки, магазины… Заражение также происходило через электронную почту – при открытии вложения из письма.

Помог антивирус? И снова нет. Хотя штатный Windows Defender был способен распознать угрозу, как утверждает Microsoft.

Вирусы, которые прячутся в картинках

В августе 2017 года по сети стал распространяться троян SyncCrypt, который прятался в легитимных изображениях. Он запросто обходил антивирусы, а затем вымогал у пользователей деньги (429 долларов) за возвращение доступа к данным.

Вредонос рассылали в спам-письмах с WSF-вложениями, замаскированными под судебный приказ. После открытия вложения встроенный JScript якобы загружал с внешнего сайта несколько изображений. В них содержались компоненты SyncCrypt, помещенные в ZIP-файл.

Заражение происходило после того, как JScript разархивировал файлы sync.exe, readme.png и readme.html (названия могли отличаться). Но если бы пользователь напрямую перешел по URL и открыл изображения, то увидел бы просто обложку альбома «& They Have Escaped the Weight of Darkness» исландского певца Олафура Арнальдса.

Фактически Windows выполняет незапланированное задание – Sync. Исполняемый файл после запуска начинал сканировать компьютер, шифрует файлы с помощью AES-алгоритма и встроенного публичного ключа RSA-4096 и менял расширения на .kk. Важные системны папки (windows, program files (x86), program files, programdata, winnt, system volume information, desktop\readme, $recycle.bin) вирус почему-то пропускал.

По данным ViruseTotal, только один из 58 антивирусов смог обнаружить вирус. Но ваш ли? Вопрос риторический.

Майнеры и антивирусы

Майнер – это программное обеспечение, которое использует ресурсы вашего компьютера или смартфона для майнинга криптовалют. Обычно майнеры создаются на основе легального кода сервиса Coinhive. Они встраиваются в сайты, и пока вы сидите на них, майнят монеты для хакеров. Либо устанавливаются на ваше устройство.

Майнеры не крадут ваши личные данные и не шифруют ваш жесткий диск, чтобы затем вымогать деньги за расшифровку. Но они используют ваши вычислительные мощности, замедляют работу вашего устройства, приводят к его износу. Воруют ваше время, наконец!

Майнинг сам по себе является стандартным процессом.

Перебор значений – это не попытка украсть ваши данные, отследить нажатия клавиш, модифицировать либо стереть файлы, отредактировать содержимое загрузочного сектора и т.п. Из-за этого антивирусам довольно сложно обнаруживать майнеры.

На сайте Dr. Web можно посмотреть, сколько майнеров обнаруживается сейчас. Вот, например, статистика с 1 января – за неполный месяц выпущено 2094 обновления базы сигнатур антивируса, касающихся майнеров:

К тому же майнеры постоянно совершенствуются. Продвинутые варианты, например, отключатся, когда вы загружаете игру или «тяжелое» приложение, чтобы вы не заподозрили странной активности. Либо запускаются, когда вы не используете смартфон. Так что если гаджет в кармане внезапно нагрелся, будьте начеку: вас либо прослушивают и отслеживают, либо майнят на вашем смартфоне.

Ходить по порносайтам для того, чтобы «подцепить» майнер или другой вирус, вовсе не обязательно. Так, к 2015 году хакеры взломали сайт ВЦИОМи заразили десятки тысяч пользователей.

Антивирусы с ворованными базами

Не любите «Антивирус Касперского» за прожорливость и медлительность? Его разработчики утверждают, что другие ещё хуже. Дескать, воруют базы у «Лаборатории Касперского» и ViruseTotal, а сами – лишь красиво покрашенный шарик.

Евгений Касперский на форуме AntiMalware заявлялКакой же у них нафиг вирус-лаб в этом Авасте, откуда у них поддержка – там нет практически никого! Кроме автомата по краже детекта и второго автомата по выпуску апдейтов, а?

Разработчик рассказал о совместном эксперименте с немецким «Компьютер-Билдом». «Лаборатория Касперского» скомпилировала пару десятков «пустышек» (весь код – страница вычислений без всякого смысла), половину из них добавила в список сигнатур, другую половину – нет.

Вскоре эти вирус-детекты появились в антивирусах, которые, по мнению «Лаборатории Касперского», воруют сигнатуры. Чистые же «пустышки» не детектировал никто.

Конечно, есть мнение, что разработчики антивирусов сами создают вирусы, чтобы обезвреживать их. Но мы не будем его подтверждать. Жизнь тяжелая, все крутятся как могут.

Реально ли жить без антивируса

Хакер Роберт О’Каллахан, бывший сотрудник Mozilla, в январе 2017 года написал в блоге о реальной ситуации с антивирусами. Материал всколыхнул интернет.

Сначала пользователи недоумевали: как же так, нельзя же жить без антивируса, злобные хакеры же не дремлют и всё такое… Но на самом деле О’Каллахан оказался прав.

Хакер считает антивирусы ужасными, потому что они:

  • отбирают колоссальное количество ресурсов;
  • нередко блокируют полезные обновления программного обеспечения;
  • пищат в самый неподходящий момент;
  • задают слишком много вопросов;
  • увеличивают время разработки программного обеспечения, так как разработчики обязаны заботиться о том, чтобы не попасть под фильтры антивирусов;
  • да и вообще реально никого не защищают.

Если вы хотите обойтись без антивируса, следуйте простым правилам:

1. Скачивайте приложения с официальных сайтов или магазинов приложений. Заодно попрощайтесь с пиратским ПО 🙂

2. Не заходите на порносайты и в онлайн-казино. И уж тем более ничего оттуда не скачивайте! Да и вообще внимательнее смотрите на то, что качаете – вирус можно загрузить даже со взломанного сайта ВЦИОМ.

3. Не запускайте самораспаковывающиеся архивы или .exe-файлы, которые вам присылают друзья, коллеги (якобы друзья, якобы коллеги, друзья друзей – список можно продолжить). Приличные люди отправляют ссылку на оф. сайт или на страницу в магазине приложений, а не непосредственно на исполняемый файл.

4. Внимательно изучайте каждую форму, которую заполняете. Не становитесь жертвой фишеров. Антивирус, кстати, не поможет, если вы сами отдадите личные данные (и пароль от банковского аккаунта!) левому сайту, который так похож на настоящий.

5. Сканируйте подозрительные файлы и ссылки в сервисе VirusTotal. Альтернатива – Kaspersky Virus Desk, ESET Online Scanner, Panda Cloud Cleaner, HouseCall.

6. Регулярно обновляйте операционную систему. Если у вас Windows, то самой свежей версии встроенного Windows Defender, по мнению О’Каллахана, вам хватит с головой.

И будет вам счастье 🙂

P.S.: Да, в статье много примеров о Windows. С macOS ситуация получше, но дыр в ней тоже хватает.

Источник