Вирус снес всю систему

На первый взгляд, задача слишком сложная, особенно если резервным копированием важных файлов никто заблаговременно не озаботился. Но все-таки гораздо разумнее быстро уничтожить всю заразу – это гарантирует полную безопасность системы.

Один вредонос ставит под угрозу весь компьютер

Лучшая гарантия безопасности – не допускать заражения вовсе. Именно для этого созданы антивирусы, которые проверяют программы перед запуском и, в идеале, предотвращают выполнение вредоносного кода. Но если вирус проскользнет через эту защиту, он получает полную свободу действий до тех пор, пока его не обнаружат.

Проблема серьезная, и по многим причинам. Зловред может воспользоваться этим шансом, чтобы надежно укорениться в системе и спрятаться от антивирусов, установив руткит, который будет запускаться при загрузке. Он может заразить системные файлы. Он может передать злоумышленникам персональные данные пользователя, включая номера кредитных карт и пароли к учетным записям.

Что еще хуже, вредонос может сыграть роль троянского коня, скачав на компьютер массу других опасных программ из Интернета. Поэтому если компьютер заражен – нет никакой гарантии, что заражен он только одним вирусом.

Антивирусы не идеальны и не слишком оперативны

Антивирусы не идеальны. Для полной очистки системы лучше всего загрузить компьютер со специального антивирусного диска или хотя бы запустить Windows в безопасном режиме, чтобы просканировать абсолютно все файлы и удалить любую заразу. Такое сканирование отнимает много времени и при том не дает стопроцентной гарантии. Даже если антивирус нашел и удалил вредоносную программу – или, того хуже, несколько вредоносных программ – нет никакой уверенности в том, что система полностью обеззаражена.

Для надежности стоит проверить компьютер парой-тройкой или даже четверкой разных антивирусов. Но на это уйдет еще больше времени, да и все равно не будет гарантии, что система теперь в полной безопасности.

Лучшее лекарство – переустановка Windows

Решение проблемы – полная переустановка Windows. Если речь идет о серьезной угрозе (а не о какой-нибудь дурацкой панели Ask или сомнительных cookie-файлах, которые многие бестолковые антивирусы принимают за опасность) – мы рекомендуем полностью переустановить Windows. Для этого нужно всего лишь воспользоваться разделом восстановления на ноутбуке, переустановить систему с установочного диска или флешки либо воспользоваться новыми функциями восстановления заводского состояния в Windows 8.

При переустановке Windows прежние системные файлы стираются и заменяются новыми, полностью безопасными, с установочного диска Windows. Программы тоже придется переустанавливать заново, чтобы гарантировать, что и они не заражены. На это уйдет время, но не так уж много, особенно если есть резервные копии важных файлов. И скорее всего, это выйдет гораздо быстрее, чем тщательно вычищать всю заразу и многократно перепроверять систему разными антивирусами.

Только обязательно создайте для начала резервные копии важных файлов! Некоторые способы переустановки Windows не затрагивают пользовательские данные, но всегда лучше перестраховаться.

Как быстро создать резервные копии

Если вы регулярно делаете резервное копирование, можно не волноваться. Если нет – не стоит создавать резервные копии важных файлов прямо в зараженной системе. Лучше загрузить компьютер с Linux Live CD или USB и скопировать файлы на внешний диск средствами этой безопасной системы. И между прочим, копировать файлы с компьютера на внешний носитель можно и при помощи установочного диска Windows.

Потом резервные копии файлов можно будет перенести обратно на компьютер после переустановки Windows.

Проверка резервных копий на безопасность

Разумеется, перед использованием стоит убедиться, что в резервные копии не прокралась никакая зараза. С особым подозрением стоит относиться к расширению .exe и прочим исполняемым файлам. В них могут прятаться вирусы, которые потом снова заразят систему. Вредоносные макросы могут скрываться и в офисных документах, хотя современные версии Microsoft Office к ним более устойчивы. В изображениях, аудиофайлах и видеороликах вирусов, как правило, не бывает.

Все .exe-файлы, скопированные с зараженного компьютера, стоит особенно тщательно проверить, а если возможно – то заново скачать с безопасных сайтов. Кроме того, все резервные копии после переустановки следует просканировать антивирусом, чтобы гарантировать, что среди них не притаились вредоносные файлы.

Все мы привыкли к мнению, что без антивируса, а еще лучше Internet Security безопасная жизнь на винде невозможна. Хочешь обойтись без него — добро пожаловать на Linux или OS X. А так ли это на самом деле? Давай проверим на практике! Подопытных систем у нас будет две: Windows 7, потому что она крутая и вообще респект ей, и Windows 10, потому что ее агрессивно продвигает Microsoft, всегда есть шанс на нее случайно обновиться :), да и, так или иначе, все равно пользователи винды на нее рано или поздно пересядут.

Наш план

Мы возьмем две чистые системы — Windows 7 SP1 и Windows 10 со всеми последними обновлениями, которые только будут найдены. Стандартные средства (вроде защитника Windows) будут выключены, сторонние антивирусы — не установлены. После этого будем открывать инфицированные документы и проверять улов. Для проверки будет использоваться не требующий установки сканер от Dr.Web (CureIt) — это гарантия того, что ни один антивирус не будет запущен в реальном времени.

Начинаем издалека: старые вирусы

Однажды я разбирал свои архивы и очень удивился, когда увидел бурную реакцию современного антивируса на старые вирусы и даже asm-файлы. Понятное дело, что от asm-файлов ничего хорошего ждать не приходится :), но DOS-овским вирусам-то за что досталось? Простая программистская логика подсказывает, что вирусы времен DOS — Windows 98 современной винде не страшны. Но проверим!

Я достал старый архив Live Viruses 3732 for Anti-Virus Testing и начал их запускать. Ничего не вышло — старые вирусы несовместимы с семеркой. Логика победила!

Старые вирусы не запускаются

Подобный тест в десятке проводить не стану — и так понятен его результат.

Cтарые вирусы новым системам не страшны. В антивирусных базах современных защитничков они присутствуют исключительно как балласт и дань традициям.

Посещаем неблагонадежные сайты

Подобно Семену Семеновичу Горбункову, который искал неприятности на свой гипс, посещая всевозможные места, мы займемся тем же самым, но в виртуальном мире. В этом тесте ось будет со всеми апдейтами, в качестве браузера — Chrome, а вот антивируса не будет.

Для начала я стану щелкать по всем подряд рекламным баннерам. Chrome (для большей правдоподобности использую его, а не IE) помогает в обеспечении безопасности — он то и дело закрывает различные всплывающие окна, в одном из них как раз может быть вирус. URL специально затерт, дабы не делать бесплатной рекламы сайту.

Блокировка всплывающих окон

Похоже, что от перехода по рекламным баннерам никакой вирус в моей системе не поселился. Поэтому пришлось искать списки сайтов, явно распространяющих вирусы. И такой список я нашел. Далее все просто: буду заходить на сайты из списка (не на все, а выборочно) — посмотрим, что из этого выйдет.

Совсем уж неблагонадежный сайт

После перехода на сайт всплывающие окна размножаются быстрее, чем кролики. Браузер их блокировал, а я, в свою очередь, снимал блокировку :). Не знаю, инфицирован компьютер или нет, но Chrome повис намертво. Пришлось убить процесс. Ура! Троян HTML:Popupper-B оказался сильнее моего Chrome.

Размножение всплывающих окон

Интересно, что Chrome ругается не на все вирусы из списка — то ли с определенных сайтов был удален вредоносный код, то ли их просто нет в базе Chrome. Был бы установлен антивирус, можно было бы сказать конкретнее.

После нескольких часов странствий в интернете я решил оценить улов и запустил сканер CureIt. Увы, все мои старания тщетны: вирусов не найдено.

Вирусов нет

Призываем на помощь родственников

Родственники! Вот по-настоящему надежный источник! Несколько часов я серфил самые подозрительные сайты, пока не вспомнил про компьютер, который в основном используют жена с дочкой и на котором уже год как не установлен какой-либо антивирус.
Загружаю CureIt на него и жду, пока он просканирует все диски. Увы, результат такой же. Вирусов нет.

Родственники не помогли. Малварь пока не поймана.

Призываем на помощь коллег

Я кинул клич и спустя несколько дней получил отличную подборку современной малвари от нуля до десяти лет выдержки: 139 файлов, из них 118 инфицированных документов (doc и PDF), остальное — EXE.

В качестве офисного пакета будет использоваться Microsoft Office 2013 SP1 — не самая новая, но и не самая старая версия MS Office. Думаю, что далеко не все перешли на 2016, поэтому и рассматривать ее пока нет смысла. Обрати внимание, что Microsoft Office все-таки отягощен сервис-паком.

Методика следующая: сначала я буду открывать инфицированные документы Word, потом — PDF, а уже потом — EXE. После каждой группы файлов система будет проверяться с помощью CureIt (если, конечно, выживет).

Прежде чем начну, скажу пару слов о защитнике Windows в десятке. Фича не новая — она есть и в семерке. Но вот в десятке это, похоже, полноценный антивирус. Сначала я забыл отключить в Windows 10 встроенный антивирус — защитник Windows. На удивление он отлично отработал (как выяснилось, в семерке он тоже был включен, но никаких уведомлений от него я не получал).

Защитник Windows обнаружил вирус

Параметры защитника Windows

Потом для чистоты эксперимента пришлось отключить штатный антивирус и заново распаковать архив с вирусами — некоторые антивирус уже успел уничтожить. Самое интересное, что после перезагрузки защита снова включается, хочешь ты этого или нет. Поэтому при написании статьи (когда дело дошло до EXE-файлов) случился небольшой конфуз. После успешного инфицирования десятки я запустил CureIt, но он работал настолько медленно (ведь параллельно оставались запущенными десятки вирусов), что мне пришлось перезагрузить комп. А после перезагрузки обнаружилось, что вирусов нет. Куда они подевались? Штатный антивирус успел их обезвредить, пока я отлучился от компа.

Документы Microsoft Word

Инфицировать систему документами Microsoft Word не выйдет, если не включать макросы. На скрине ниже показано типичное содержимое такого документа — мол, контент не виден, пока не включите макросы. По умолчанию выполнение макросов отключено.

Как и обещал много интересного о ВИЧ/СПИД от от Егора Воронина, PhD in Biochemistry. 14 лет изучал ВИЧ/СПИД в ряде лабораторий США. Сейчас сотрудник Global HIV Vaccine Enterprise (Глобальный Центр по Разработке ВИЧ Вакцин).

Хотя бы просмотрите на досуге и посоветуйте друзьям, ведь перефразируя рекламу, это может коснуться каждого.

Для начала мифы о ВИЧ/СПИД:

1. ВИЧ никогда не был выделен. (Альтернативный вариант: ВИЧ был выделен из пациента всего один раз). Это полная чушь. Выделение ВИЧ из пациента сейчас является рутинной процедурой, которую проделывают по мере надобности. Я сам выделял вирус множество раз - это не требует ни большого умения, ни каких-либо сложных технологий.

2. ВИЧ никто никогда не видел. Невооруженным глазом - конечно никто не видел, он слишком мал для этого (как и любой другой вирус). На электронных микрофотографиях и под сканирующим микроскопом его отлично видно.

3. Инфекция ВИЧ определяется очень необычным и ненадежным способом - по присутствию антител в крови, а не по наличию вируса. Во-первых, определение факта инфекции каким-либо вирусом по присутствию антител - стандартный подход и он используется для многих других вирусов. Во-вторых, сейчас используются тесты, которые определяют наличие в крови собственно вируса, а также ПЦР-тесты, которые детектируют присутствие ВИЧ геномов. Эти два теста - очень аккуратные и не дают ложно-положительных результатов, особенно ПЦР-тест, который позволяет не только установить присутствие вируса, но и определить его тип.

4. СПИД вызывается не вирусом, он был известен и до появления ВИЧ. Действительно, СПИД был известен и до появления ВИЧ. Но это было чрезвычайно редкое заболевание с совершенно иными симптомами, чем СПИД, вызываемый ВИЧ. Например, самая частая форма СПИДа не вызываемая ВИЧ - это гипогаммоглобуленимия (низкое содержание иммуноглобулинов в крови). Ее симптомы достаточно легко лечатся инъекциями иммуноглобулинов каждые пару месяцев. СПИД, вызываемый ВИЧ, никак не реагирует на такое лечение. На современном уровне медицины очень легко различить эти виды СПИДа.

5. СПИД лечат единственным лекарством AZT, которое было разработано для рака, но было слишком токсично, чтобы его использовали Во-первых, AZT не стали использовать против рака не потому, что он был слишком токсичен, а потому, что он был недостаточно токсичен для раковых клеток. Во-вторых, против ВИЧ сейчас существует больше 20 разных препаратов, которые используются в комбинациях по три (иначе вирус очень быстро приобретает устойчивость). Большинство из них - очень специфичны и действуют только на ВИЧ (более того, только на конкретный вариант этого вируса). В-третьих, AZT действительно довольно токсичен, поэтому он сейчас используется редко (меньше чем в 15% случаев). Его основные преймущества - дешевизна и стабильность при высоких температурах. Поэтому его в основном используют в самых бедных и удаленных от цивилизации уголках Африки.

Вопрос - ответ:

Вопрос:
Есть ли зарегистрированные случаи излечения от ВИЧ/СПИД?

Ответ:
Известен один документально зафиксированный случай, когда человеку больному раком полностью снесли всю иммунную систему и потом пересадили иммунные клетки от человека с мутацией, не позволяющей вирусу проникать в клетки.

Вопрос:
Эта какая-то естественная мутация — не подверженность ВИЧ/СПИД?

Ответ:
Да - естественная мутация. Среди европейцев 10-15% населения ее имеют по меньшей мере в одной копии гена.

Вопрос:
Возможно ли вылечиться от ВИЧ/СПИД современными лекарствами?

Ответ:
В смысле полного избавления от вируса - нет. В смысле контроля вируса - да.

Вопрос:
Что значит контроль вируса?

Ответ:
Это означает, что вирус больше не может реплицироваться и его количество в человеке существенно снижается. Настолько, что человек вполне может считаться здоровым. Но небольшие количества зараженных клеток все равно остаются в человеке - навсегда. Стоит перестать принимать лекарства и вирус вернется.

Ирония заключается в том, что вирус использует одно из основных свойств иммунной системы - иммуннологическую память. После того, как иммунная система встречает некий патоген и успешно его вычищает, она "архивирует" небольшую часть клеток на случай того, что этот патоген появится снова. Эти клетки в таком архивированном состоянии могут существовать очень долго - всю человеческую жизнь. ВИЧ заражает предшественников этих клеток и тогда он архивируется вместе с ними. Поскольку он заархивирован, то он никак внешне не проявляется, а потому иммунная система не может вычислить и уничтожить эти зараженные клетки. Даже если полностью уничтожить весь активно-реплицирующийся вирус, эти клетки останутся. Они время от времени активируются и выходят из архивации и вместе с ними выходит из архивации и вирус.

Вопрос:
Я правильно понимаю, что именно поэтому вакцина невозможна?

Ответ:
В какой-то мере - да. Большинство вакцин не предотвращают инфекцию, а лишь помогают организму с ней бороться. В данном случае если инфекция уже случилась, то шансы на полной очищение организма очень малы даже при успешном иммунном ответе. Но это не означает, что вакцина невозможна или нерациональна. Во-первых, существуют вакцины, которые предотвращают инфекцию. Во-вторых, даже вакцина не предотвращающая инфекцию может:
1. Предотвращать развитие СПИДа в зараженных людях
2. Предотвращать распространение вируса от зараженных людей

Вопрос:
Значит ли это, что можно регулярно вакцинироваться и снизить вероятность заражения ВИЧ? Как прививка от гриппа.

Вопрос:
Симптомы болезни? Сколько в среднем времени живет человек с этой болячкой?

Ответ:
Симптомы недавнего заражения похожи на простуду. Потом наступает довольно длительная скрытая фаза. Болезнь чаще всего обнаруживается при нахождении инфекций бактериями и вирусами, которые мы обычно легко контролируем. Без лекарств средняя продолжительность жизни 10 лет, с довольно большим разбросом (от года до 25 лет). На лекарствах (при успешном лечении) болезнь не проявляется никак и люди живут почти полную жизнь.

Вопрос:
Что происходит после скрытой фазы?

Ответ:
Начинаются массовые инфекции самыми разными организмами.

Вопрос:
Есть люди, которые живут по 10-15 лет с ВИЧ и не заболевают СПИДом, это слова Монтанье, т.е. как минимум 3-й пункт из триады Коха не подтверждается, кроме того положительный либо ошибочный результат теста на ВИЧ выявлен у 62 групп людей.

Ответ:
Смотря что считать "болезнью". Если крайнюю ее стадию, то - да. Если же уничтожение большого количества лимфоцитов и общую неспецифическую активацию иммунной системы - то нет.

Вообще не стоит ставить во главу угла некое (довольно эмпирическое) правило, выработанное в 19 веке, для того, чтобы мерить микробиологию 21 века. Сейчас известны многие вирусы и бактерии, которые не вызывают немедленной острой болезни у хозяина. В 19 веке просто не было инструментов, чтобы такие болезни исследовать.

Вопрос:
А если уничтожение большого количества лимфоцитов и общая не специфическая активация иммунной системы наблюдается еще у 62 групп людей, как можно ВИЧ называть вирусом СПИДа? Тогда это просто вирус иммунодефицита и к СПИДУ отношение имеет не больше, чем к тому же гепатиту или гриппу, разве нет?

Ответ:
"уничтожение большого количества лимфоцитов и общая не специфическая активация иммунной системы" случается очень-очень редко и до появления ВИЧ была практически не известна медицине. Кроме того, у ВИЧ-зараженных людей эти нарушения носят довольно специфический характер (уничтожение преймущественно CD4+ CCR5+ лимфоцитов), который не наблюдается у людей с другими формами приобретенного иммунодефицита.

Вопрос:
Это правда, что ВИЧ- мужчина имеет больше шансов не заразиться от ВИЧ+ женщины при разовом половом контакте?

Ответ:
Да, правда. Вероятность заражения мужчины от ВИЧ+ женщины 0.5-1%. Вероятность заражения женщины от ВИЧ+ мужчины 1-3%.

Вопрос:
Что конкретно делает вирус СПИДа? Что он атакует, что разрушает, почему человек в итоге умирает?

Ответ:
Он заражает и уничтожает клетки иммунной системы, которые сами не борятся с инфекциями, но которые необходимы для того, чтобы она нормально функционировала. В отстутствии иммунной системы самые разные вирусы, бактерии и грибы имеют возможность бесконтрольно размножаться в человеке. Кроме того, иммунная система обычно контролирует рак на ранних его стадиях, а потому при ее дисрегуляции у людей часто возникает рак. Наконец, иммунная система у больных СПИДом часто начинает атаковать собственные здоровые клетки, потому что не может разобраться, где инфекция, а где нет.

Вопрос:
Откуда вообще взялся вирус ВИЧ/СПИДа?

Ответ:
Ретровирусы, к которым он относится, существовали с нами десятки миллионов лет (может и больше). Этот конкретный вирус является комбинацией двух вирусов, которые попали из маленьких африканский обезьян в шимпанзе. Потом он от шимпанзе передался человеку (скорее всего при разделе мяса шимпанзе). Это, похоже, происходило довольно часто в Африке. Вирус, который в итоге распространился по миру, попал в человека в начале 20 века. Ему повезло - в Африку пришли белые люди :)

Вопрос:
Правда что вирус ВИЧ получен в лабораторных условиях?

Ответ:
В смысле - намеренно создан? Нет, не правда. Мы очень далеки от возможности создавать нечто подобное.

Вопрос:
Сколько вирус живет в "извлеченных из человека" жидкостях? Например, в сперме, "не попавшей по месту назначения" или в использованном шприце?

Ответ:
Трудно сказать, точных цифр я не знаю. К тому же он не живет какой-то конкретный срок (например - ровно 2 часа), он распадается с неким периодом полураспада. Так что это зависит от конкретных условий и от того, сколько там вируса было изначально. Когда работаешь с вирусом, то при комнатной температуре в сбалансированной среде он распадается очень медленно - часами. В холодильнике, при +4, еще медленнее - можно оставить до следующего дня без особой потери инфекционности. Что он совершенно не выносит, так это высыхания. Так что если кровь в шприце засохла, то вирус там почти наверняка мертв.

Вопрос:
А почему на мартышек не действует вирус?

Ответ:
Мы точно не знаем почему. Похоже дело в том, что у нас иммунная система слетает с катушек от постоянного присутствия вируса и полностью дисрегулируется. Иммунная система мартышек игнорирует вирус, что позволяет вирусу неограниченно реплицироваться, но при этом функциональность иммунной системы по отношению к другим патогенам сохраняется.

Вопрос:
И почему вирус не мутирует для уничтожения всего живого? Почему только человек (или я заблуждаюсь?)

Ответ:
Близкородственные вирусы есть у очень многих обезьян, кошек, лошадей, овец, кроликов. Более дальнородственные вирусы (но все еще принадлежащие к этому семейству) найдены практически во всех животных, они с нами существуют уже десятки миллионов лет. Иногда их дефектные копии остаются в нашем геноме и передаются по наследству. За эти миллионы лет их у нас в ДНК огромное количество - больше, чем генов нужных нам для синтеза наших собственных белков.

Вопрос:
Ну, как мы видим — за столь короткий срок СПИД скосил кучу людей. Животные же не знают ничего о защите и предотвращении вируса. Чего же не вымерли тогда все подряд?

Ответ:
C чего вы взяли, что не вымерли? Вам не известно, что масса видов в прошлом вымерла и больше уже не существует?

Любой вирус с хозяином существуют в эволюционном балансе - вирус эволюционирует чтобы обойти защиту хозяина, хозяин эволюционирует, чтобы создать новые системы защиты. Проигравший вымирает.

СПИД скосил кучу людей, но не всех. Даже если предположить, что мы не будем предотвращать его распространение никак, все равно все не вымрем - существуют люди с устойчивостью к ВИЧ. Они выживут. Так и с животными - кто-то умирает, кто-то выживает.

Вопрос:
Ну, я имел ввиду за короткий период времени. Не вымерли все те же кролики, собачки, кошечки. А при их половой активности, они бы за пару десятилетий заразились все. Так почему же мы не создаем? Или вместо систем защиты нам даны мозги, чтобы придумать лекарство? Но их же ничтожно мало, ведь так?

Ответ:
Мне кажется, вы не понимаете самой основы - все животные постоянно болеют самыми разными болезнями и многие от них умирают. Бывает, что и целые виду исчезают. Болезни эти не возникают из ниоткуда, все эти вирусы, бактерии, грибы - они с нами со-существуют сотни миллионов лет. И мы все еще живы. Потому что, как я сказал, это - гонка вооружений. У нас (и у животных) в арсенале масса способов бороться с ними, а у них масса способов обходить эту защиту. Это постоянная война. Причем паразиты в ней живут за счет побежденного - если они очень успешно побеждают, то жить им становится не на чем.

Вопрос:
Пожалуйста, сообщите название работы и автора, впервые корректно доказавшего причинно-следственную связь между ВИЧ и СПИДом. Если, разумеется, вообще доказана такая связь - что причиной СПИДа как болезни является именно ВИЧ.

Вопрос:
Означает ли это, что корректного доказательства причинно-следственной связи между ВИЧ и СПИД пока не существует? Я хочу сказать, что не может ли оказаться так, что инфицирование ВИЧ не является причиной СПИДа, или не является единственной причиной, или не является главной причиной.

Речь в данном случае не о СПИД-диссиденстве, а исключительно о наличии доказательств причинно-следственной связи. Приведенные вами работы такого доказательства, насколько я успел понять, не содержат. Ни выделение нового вируса из одного пациента со СПИД, ни даже из многих, большинства или всех таких пациентов, очевидно, не могут являться таким доказательством с точки зрения формальной логики.

Можем ли мы констатировать отсутствие корректного доказательства причинно-следственной связи между ВИЧ и СПИД на данный момент?

Ответ:
Я повторюсь - в науке не существует понятия "единственного корректного доказательства" чего либо. Не важно "ВИЧ/СПИД", "земля-круглая", "теория относительности верна", "водород состоит из протона и электрона". Существует общее накопление информации, ее проверка и перепроверка. Абсолютные доказательства существуют лишь в математике. Можем ли мы 100% констатировать, что "ВИЧ вызывает СПИД"? Настолько же, насколько мы можем 100% констатировать, что "земля круглая". Суммарная информация сотен тысяч (если не миллионов) отдельных экспериментов делает этот факт практически неопровержимым. Тем не менее всегда остается шанс на то, что мы чего-то не учли. 100% в науке не бывает. Но бывает настолько близко, что оставшиеcя 0.00001% можно уже не рассматривать.

Ссылка на пост и вопросы о болезни приветствуются и всячески поддерживаются. Благодаря им пост будет дополняться и расширяться.

Истории, о которых невозможно молчать

Александр Свириденко, программист-исследователь:

Google предоставляет API для блокировки исходящих звонков, неудивительно, что им воспользовались вирусописатели.

Павел Шалин, аналитик:

У нас этого троянца зовут Android.Sigh.1. Он использует набор эксплойтов для получения root-привилегий на атакуемом устройстве, напоминающий сборку эксплойтов с открытым исходным кодом android-rooting-tools. Установка других приложений выполняется по команде злоумышленников, если троянцу удалось получить в системе привилегии суперпользователя.

Павел Шалин, аналитик:

Александр Свириденко, программист-исследователь:

Троянцев, которые получают root-доступ, очень тяжело удалить простому пользователю. Наше приложение знает, как поступить с такими угрозами, при условии, что пользователь выдаст Dr.Web root-права. К сожалению, это означает потерю гарантии на устройство. Такими угрозами лучше не заражаться, в худшем случае это может превратить устройство в кирпич.

Павел Шалин, аналитик:

Встраиваемый рекламный модуль оказался действительно агрессивным: он создаёт на домашнем экране виджеты, которые не удаляются до тех пор, пока владелец устройства не нажмёт на них, генерирует окна и показывает надоедливые баннеры, встраивает рекламу в экран блокировки. Этот плагин фактически мешает пользоваться мобильным устройством из-за постоянно всплывающих уведомлений и неудаляемых виджетов, а стереть его можно только вместе с самим приложением. Этот плагин и подобные ему распространяются через Google Play и встраиваются в приложения самими разработчиками в целях монетизации. А страдают простые пользователи. :)

Почему люди ведутся и кому это выгодно

Александр Свириденко, программист-исследователь:

Самый простой способ — сделать приложение-подделку с тем же названием и иконкой, что и у популярного оригинала. Такие подделки можно вычислить, если обращать внимание на запрашиваемые для них разрешения, но неподготовленному пользователю это мало поможет, так как и обычное может требовать аналогичные права. Далее только при старте программы станет ясно, что она содержит не то, что хотел пользователь. Если повезёт, и троян не прорутует устройство, можно будет попытаться его удалить.

Другой способ — модификация уже существующих приложений. Обычно разработчики программ (особенно не очень популярных) не слишком заботятся о защите от взлома. Сейчас появились целые сервисы, где можно зарегистрироваться, засунуть туда apk какой-нибудь сторонней программы, в неё автоматически встроится зловредный модуль. Поставив такую программу, пользователь даже не заметит подвоха, а через пару недель она начнёт выкидывать рекламу на весь экран, и будет очень тяжело догадаться, что это делает приложение от уважаемого разработчика. Этим могут пользоваться множество злоумышленников, им даже не нужно иметь никаких знаний, достаточно распространять такие apk по форумам и получать свой процент с рекламы.

Павел Шалин, аналитик:

К сожалению, некоторые версии Android содержат уязвимости, которыми могут воспользоваться вирусописатели. В Dr.Web Security Space для Android за их обнаружение отвечает компонент Аудитор безопасности. В большинстве случаев уязвимость на уровне операционной системы можно устранить только путём обновления ОС, но обновления для firmware выпускают лишь немногие производители устройств — в основном это касается флагманских моделей смартфонов от ведущих производителей. Потому значительная часть пользователей подвержена этим угрозам.

Александр Свириденко, программист-исследователь:

Трояны работают в основном как доносчики и посредники: фиксируют всю информацию о вас и отправляют разработчикам. Ну или помогают зарабатывать за счёт вас — кликают по рекламе.

Как не заразиться: семь правил безопасности

Мы собрали правила безопасности в единый чек-лист.

Александр Свириденко, программист-исследователь:

Ну а чтобы точно не заразиться, лучше ничего не ставить. :) А так — читайте отзывы, смотрите на рейтинги. Если у приложения хороший рейтинг и миллионы скачиваний, вряд ли оно будет с проблемами. Если хочется поставить какое-то новое приложение, то, естественно, надо иметь на устройстве антивирус (хотя это тоже не гарантирует стопроцентной защиты). Если хочется поставить какой-то apk с сайта, то можно его ещё закинуть на virustotal.com. Там сразу несколько антивирусов проверят его.

Правило 8: зачем мобильному гуру антивирус?

Ещё несколько лет назад пунктов из приведённого выше списка было вполне достаточно, чтобы не задумываться о вредоносном коде на смартфоне. Но десятки миллионов заражений через приложения из Google Play, — прозрачный намёк на то, что ситуация меняется не в лучшую сторону. И это только те случаи, которые были зафиксированы специалистами. А сколько заражений не попало в статистику? Возможно ли по косвенным признакам определить, что в смартфоне поселилось вредоносное ПО, и как это сделать?

Павел Шалин, аналитик:

Во-первых, не забывайте, что и на старуху бывает проруха. Все мы люди, все ошибаемся, и принять фальшивый баннер онлайн-банка за настоящий может каждый. Тут-то антивирус и протянет вам руку помощи, а скорее — даст отрезвляющий щелчок: ты что, не видишь, что ли?

Александр Свириденко, программист-исследователь:

Помимо борьбы с вредоносными программами у антивирусов есть дополнительная функциональность. Например, Dr.Web Security Space для Android защищает от перехода на мошеннические сайты, где вас могут через оператора подписать на ненужные услуги. Ну и в целом показывает проблемные места системы. Это важно, если человек пользуется банковскими приложениями.

Во-вторых, допустим, вы заразились (для этого иной раз достаточно просто скачать приложение из Google Play). Согласитесь, вручную перебирать программы в поисках источника проблем — то ещё занятие. Вы, конечно, заразу найдёте, но потратите время. То же самое касается приложений, которые вы загружаете из файлообменников, где трояны, мягко говоря, не редкость — антивирус сразу определит, что пытается прописаться в вашем гаджете.