Как остановить проверку на вирусы

Обновлено: 26.04.2024

Внимание. Яндекс Браузер блокирует загрузку вредоносного файла, но не является полноценным антивирусным продуктом. В то же время технология Protect защищает Браузер от компьютерных угроз, которые антивирусы не блокируют. Для полной защиты рекомендуем использовать и то и другое.

Автоматическая проверка загружаемых файлов

Файлы, которые вы загружаете из интернета, могут содержать вредоносные или нежелательные программы. Они замедляют и блокируют работу компьютера, крадут ваши данные, рассылают спам, распространяют нежелательную рекламу и приводят к неожиданному поведению браузеров.

Поэтому Браузер проверяет все архивы и исполняемые файлы, которые загружаются явно или в фоновом режиме. Как только загрузка началась, Браузер выделяет некоторые характеристики файла и отправляет их для проверки на сервер Яндекса. Весь файл не передается, поэтому проверка проходит быстро. Файл в это время нельзя открыть, а его иконка справа от Умной строки становится полупрозрачной.

После проверки зараженные и подозрительные файлы помечаются значком .

Блокировка опасных файлов

Вредоносные программы, проникнув в компьютер, замедляют или блокируют его работу, похищают, изменяют или удаляют информацию. Они также перехватывают пароли, рассылают спам и заражают другие устройства в сети.

Если загружаемый файл содержит вредоносное ПО, Браузер заблокирует его. Зараженный файл помечается значком , а при попытке открыть его вы увидите предупреждение.

Файлы с вредоносным ПО Браузер сохраняет, добавив к имени расширение infected . В таком виде файл нельзя запустить ни из Браузера, ни из других программ. Зараженный файл больше не представляет угрозы, хотя антивирус на вашем компьютере может посчитать его опасным.

Если вы не удалили зараженный файл сразу, вы можете сделать это позже:

Предупреждение о подозрительных файлах

Некоторые файлы и архивы после открытия незаметно для пользователя устанавливают программы и расширения, которые показывают нежелательную рекламу, автоматически открывают в браузере посторонние страницы и совершают другие действия без вашего ведома.

Такие файлы Браузер считает подозрительными, помечает значком , а при попытке открыть их вы увидите предупреждение.

Мы рекомендуем не открывать подозрительные файлы. Но если вы решили сделать это:

Отключение защиты от вредоносных сайтов и программ

Внимание. Если вы хотите отключить проверку загружаемых файлов, вам придется полностью отключить защиту от вредоносных сайтов и программ в Браузере. Мы настоятельно рекомендуем этого не делать.

Чтобы отключить проверку загружаемых файлов:

В блоке Защита от угроз отключите опцию Проверять безопасность посещаемых сайтов и загружаемых файлов .

Чтобы включить проверку загружаемых файлов, сделайте то же самое и включите опцию Проверять безопасность посещаемых сайтов и загружаемых файлов .

Автоматическая проверка загружаемых файлов

После проверки зараженные и подозрительные файлы помечаются значком .

Блокировка опасных файлов

Если вы не удалили зараженный файл сразу, вы можете сделать это позже:

Нажмите → Загрузки или клавиши Ctrl + J .

Предупреждение о подозрительных файлах

Мы рекомендуем не открывать подозрительные файлы. Но если вы решили сделать это:

Нажмите → Загрузки или клавиши Ctrl + J .

Отключение защиты от вредоносных сайтов и программ

Чтобы отключить проверку загружаемых файлов:

Нажмите → Настройки .

В блоке Защита от угроз отключите опцию Проверять безопасность посещаемых сайтов и загружаемых файлов .

Вредоносная программа — термин, который используется для обозначения вредоносного ПО, которое разработано для причинения ущерба или для осуществления нежелательных действий в рамках компьютерной системы. Ниже приведены примеры вредоносных программ.

Мошеннические программы по обеспечению безопасности

Что такое компьютерный вирус?

Компьютерный вирус — это небольшая программа, которая распространяется с одного компьютера на другой и мешает работе компьютера. Компьютерный вирус может повредить или удалить данные на компьютере, распространить его на другие компьютеры с помощью почтовой программы или даже удалить все данные на жестком диске.

Совет: Сведения о симптомах компьютерных вирусов можно найти на веб-сайте microsoft PC Security.

Что такое червь?

Что такое троянский коня?

Троянский коня — это вредоносная программа, которая скрывается в других программах. Он вводит компьютер, скрытый в нужной программе, например при заслушии экрана. Затем он помещает в операционную систему код, позволяющий злоумышленнику получить доступ к зараженным компьютерам. Троянские кони обычно не распространяются по себе. Они распространяются вирусами, червями или скачав программное обеспечение.

Что такое шпионское ПО?

Шпионское ПО можно установить на компьютер без вашего ведома. Эти программы могут изменять конфигурацию компьютера или собирать рекламные и персональные данные. Шпионское ПО может отслеживать привычки поиска в Интернете, а также перенаправлять веб-браузер на другой веб-сайт, чем предполагается.

Что такое мошеннические программы безопасности?

Предупреждение!
Ваш компьютер заражен!
Этот компьютер заражен шпионским и рекламным по программам.

Дополнительные сведения см. в этой теме.

Удаление таких вредоносных программ, как вирусы, программы-шпионны и мошеннические программы по обеспечению безопасности.

Удаление компьютерного вируса или программы-шпиона может быть сложной задачей без средств удаления вредоносных программ. Некоторые вирусы и программы-шпионы могут переустановить свою копию после обнаружения и удаления. К счастью, пользователь может полностью удалить нежелательное ПО, обновив систему и воспользовавшись средствами удаления вредоносных программ.

Дополнительные сведения об удалении компьютерных вирусов и шпионских программ см. в следующей статье базы знаний Майкрософт: 2671662 — ресурсы Майкрософт и руководство по удалению вредоносных программ и вирусов.

Чтобы удалить компьютерный вирус и другие вредоносные программы, выполните указанные здесь действия по порядку.

1. Установка последних обновлений из Обновления Майкрософт

Примечание. Компьютерный вирус может помешать вам получить доступ к веб-сайту Обновления Майкрософт для установки последних обновлений. Мы рекомендуем настроить автоматическую запуск службы автоматического обновления, чтобы не пропустить на компьютере важных обновлений.

В области результатов выберите пункт Центр обновления Windows.

Следуйте инструкциям по загрузке и установке последних обновлений Windows.

2. Используйте бесплатную средство проверки безопасности (Майкрософт)

Майкрософт предлагает бесплатное веб-средство, которое выполняет поиск и помогает устранять программы, представляющие потенциальные угрозы для вашего компьютера. Чтобы выполнить поиск, перейдите на веб-страницу Средства проверки безопасности (Майкрософт).

3. Используйте средство Windows вредоносных программ

За дополнительной информацией о проверки безопасности Майкрософт см. в следующей статье базы знаний Майкрософт:

890830— удаление распространенных вредоносных программ с помощью средства Windows удаления вредоносных программ

4. Удаление мошеннических программ безопасности вручную

Если вредоносное программное обеспечение для защиты не удалось обнаружить или удалить с помощью средства средство проверки безопасности (Майкрософт) или средства Windows вредоносных программ, попробуйте сделать следующее:

Обратите внимание на названия мошеннических программ по обеспечению безопасности. В этом примере программа будет названа XP Security Agent 2010.

При появлении логотипа производителя компьютера несколько раз нажмите клавишу F8.

После появления соответствующего уведомления с помощью клавиш со стрелками выберите пункт Безопасный режим с загрузкой сетевых драйверов и нажмите клавишу ВВОД.

Правой кнопкой мыши щелкните название мошеннической программы по обеспечению безопасности и выберите Свойства.

Перейдите на вкладку Ярлык.

В диалоговом окне Свойства проверьте путь к вредоносному программному обеспечению безопасности, который указан в списке Target. Например, C:\Program Files\XP Security Agent 2010.

Примечание. Часто папка называется случайным числом.

В окне Program Files щелкните Program Files в адресной строке.

Прокрутите список, пока не найдете папку с мошеннической программой по обеспечению безопасности. Например, XP Security Agent 2010.

Щелкните папку правой кнопкой мыши и выберите команду Удалить.

Следуйте инструкциям, чтобы найти и удалить мошенническую программу по обеспечению безопасности.

5. Запустите автономный Microsoft Defender

автономный Microsoft Defender — это средство для устранения вредоносных программ, которое помогает избавиться от вирусов, которые начинаются перед Windows вирусов. Начиная с Windows 10, автономный Microsoft Defender встроена в нее. Чтобы использовать его, выполните действия, следующие в этой статье: Защита компьютера с помощью автономный Microsoft Defender.

На зараженных компьютерах перейдите в статью Защита компьютера с помощью автономный Microsoft Defender.

При появлении запроса щелкните Сохранить как, затем сохраните файл на DVD-диске, CD-диске или USB-устройстве флэш-памяти.

Поместите DVD-диск, CD-диск или USB-устройство флэш-памяти в привод зараженного компьютера, а затем перезапустите его.

При появлении запроса нажмите клавишу, чтобы выбрать параметр запуска компьютера, например, F12, F5 или F8 (в зависимости от компьютера, который вы используете).

С помощью клавиши со стрелками перейдите к диску, на котором установлен автономный Microsoft Defender файл. автономный Microsoft Defender запускается и сразу же проверяется на вредоносные программы.

Защита компьютера от вредоносных программ

Выполните следующие действия, чтобы защитить свой компьютер от вредоносных программ.

Включите брандмауэр.

Подтвердим Windows включен брандмауэр. Инструкции о том, как сделать это в современных версиях Windows, см. в этой Windows.

В поле Поиска введите брандмауэр и нажмите кнопку Windows брандмауэра.

В левой области щелкните Включить Windows брандмауэра (вам может быть предложено ввести пароль администратора).

Под каждой сетевой расположением щелкнитеВключить Windows брандмауэр и нажмите кнопку ОК.

Поддержание компьютера в актуальном состоянии

Дополнительные сведения о том, как настроить автоматическое обновление в Windows, см. в Windows: faq

Не обмануйте вас при скачии вредоносных программ

Ниже даны советы, которые помогут вам избежать скачивания нежелательного ПО:

Скачайте только программы с сайтов, которые вы доверяете. Если вы не уверены, следует ли доверять программе, которую вы хотите скачать, введите ее имя в свою любимая поисковая система, чтобы узнать, есть ли в ней шпионское ПО.

Ознакомьтесь со всеми предупреждениями системы безопасности, лицензионными соглашениями и заявлениями о конфиденциальности, которая связанны с любым загружаемым ПО.

Никогда не нажимайте кнопку "Принимаю" или "ОК", чтобы закрыть окно программы, которая может быть программой-шпионом. Вместо этого нажмите значок "x" красного цвета в углу окна или клавиши ALT+F4 на клавиатуре.

Будьте в курсе бесплатных программ для доступа к музыке и фильмам, также убедитесь, что вы знаете о всех программах, которые включают эти программы.

Используйте учетную запись обычного пользователя, а не администратора. Учетная запись администратора может получать доступ ко всем данным в системе, а любая вредоносная программа, запускаемая с учетной записью администратора, может использовать разрешения администратора для потенциального заражения или повреждения любых файлов в системе.

Дополнительные сведения о том, как защитить компьютер от вирусов, см. в теме Защита компьютера от вирусов.

Получение поддержки, связанной с компьютерным вирусом и безопасностью

Хотите пообщаться с человеком в прямом эфире? Наши Answer Tech специалисты готовы помочь: Answer Desk

Майкрософт Решения для ИТ-специалистов:

Поддержка по стране:

Для местоположений за пределами Северной Америки:

Чтобы получить поддержку по вопросам безопасности и защиты от вирусов за пределами Северной Америки, посетите веб-сайт Служба поддержки Майкрософт.

Если вы работаете Windows S-режиме, это упрощено для более строгой защиты, поэтому в области защиты & вирусов меньше параметров, чем описано здесь. Это происходит потому, что встроенная безопасность Windows S-режиме автоматически предотвращает запуск на вашем устройстве вирусов и других угроз.

В ранних версиях Windows 10 Безопасность Windows называется Защитник Windows безопасности.

Защита & в Безопасность Windows помогает проверять угрозы на вашем устройстве. Вы также можете выполнить различные виды сканирования, просмотреть результаты предыдущих сканов вирусов и угроз и получить последнюю защиту отMicrosoft Defender антивирусной программы.

В области Текущие угрозы вы можете:

См. все угрозы, которые в настоящее время обнаружены на вашем устройстве.

Посматривать, когда последний раз запускалась проверка на устройстве, сколько времени это заняло и сколько файлов было проверено.

Начните новое быстрое сканирование или перейдите в параметры сканирования, чтобы выполнить более масштабную или пользовательскую проверку.

См. статью Угрозы, которые были на карантине, прежде чем они могут повлиять на вас и на все, что определено как угрозу, которую вы разрешили использовать на вашем устройстве.

Примечание: Если вы используете антивирусное программное обеспечение сторонних разработчиков, здесь вы сможете воспользоваться его параметрами защиты от вирусов и угроз.

Выполнение необходимых проверок

Даже если Безопасность Windows включена и проверяет устройство автоматически, при необходимости можно выполнить дополнительную проверку.

Быстрая проверка. Вас беспокоит, что вы могли совершить действие, в результате которого на ваше устройство мог попасть подозрительный файл или вирус? Выберите функцию Быстрая проверка (в предыдущих версиях Windows 10 она называется Проверить сейчас), чтобы немедленно проверить ваше устройство на наличие новых угроз. Этот параметр полезен, когда вы не хотите тратить время на запуск полной проверки всех файлов и папок. Если Безопасность Windows рекомендует запуск одного из других типов сканирования, вы получите уведомление по завершению быстрой проверки.

Параметры сканирования.Щелкните эту ссылку, чтобы выбрать один из следующих расширенных вариантов проверки.

Полная проверка. Сканирует все файлы и программы на вашем устройстве.

Выборочная проверка. Сканируются только выбранные файлы и папки.

Microsoft Defender сканирования в автономном режиме. Используются последние определения для проверки устройства на наличие новейших угроз. Это происходит после перезапуска без загрузки Windows, поэтому сохраняемой вредоносной программе сложнее скрывать или защищаться. Если вас беспокоит, что устройство могло пострадать от вредоносных программ или вирусов, или если вы хотите безопасно проверить его без подключения к Интернету, запустите эту проверку. Это перезагрузит ваше устройство, поэтому обязательно сохраните открытые файлы.

Примечание: Параметры сканирования в ранних версиях Windows 10.

Управление параметрами защиты от вирусов и угроз

Используйте параметры защиты от вирусов и угроз для настройки уровня защиты, отправки в корпорацию Майкрософт образцов файлов, исключения доверенных файлов и папок из повторного сканирования или временного отключения защиты.

Управление защитой в режиме реального времени

Нужно остановить защиту в режиме реального времени на некоторое время? Вы можете временно отключить его с помощью параметра защиты в режиме реального времени. однако через некоторое время защита в режиме реального времени снова включатся автоматически, чтобы возобновить защиту устройства. Когда защита в режиме реального времени отключена, открываемые или скачиваемые файлы не проверяются на наличие угроз.

Примечание: Если используемое устройство является частью организации, системный администратор может запретить отключение защиты в режиме реального времени.

Получение доступа к облачной защите

Предоставьте вашему устройству доступ к последним определениям угроз и обнаружению опасного поведения в облаке. Этот параметр позволяет Microsoft Defender получать постоянные улучшения от Корпорации Майкрософт, когда вы подключены к Интернету. Это позволит более точно выявлять, останавливать и устранять угрозы.

Этот параметр включен по умолчанию.

Отправьте нам файлы с помощью автоматической отправки образцов

Защита от подделки защищает ваши параметры безопасности

По умолчанию этот параметр включен для потребителей.

Дополнительные сведения о Защите от подделки.

Защита файлов от несанкционированного доступа

С помощью параметра "Управляемый доступ к папкам" можно управлять тем, в какие папки могут вносить изменения неподтверченные приложения. Вы также можете добавить дополнительные приложения в список надежных, чтобы они могли вносить изменения в эти папки. Это мощный инструмент для обеспечения безопасности файлов от программ-вымогателей.

При включении контролируемого доступа к папкам многие наиболее часто используемые папки будут защищены по умолчанию. Это означает, неизвестные или ненадежные приложения не смогут получить доступ к содержимому любой из этих папок или изменить его. При добавлении дополнительных папок они также защищаются.

Исключение элементов из списка проверки на наличие вирусов

Возможны ситуации, когда необходимо исключить определенные файлы, папки, типы файлов или процессы из списка проверки, например доверенные элементы в случае, если вы уверены, что на их проверку не нужно тратить время. В таких редких случаях можно добавить для них исключение.

Настройка уведомлений

Безопасность Windows будет отправлять уведомления о здоровье и безопасности вашего устройства. Включить и отключить уведомления можно на странице уведомлений. В разделе Защита от вирусов и угроз выберите Параметры защиты от вирусов и угроз, Управление параметрами, прокрутите вниз до параметра Уведомления и выберите Изменение параметров уведомлений.

Защита устройства с учетом последних обновлений

Корпорация Майкрософт автоматически загружает новейшие механизмы на ваше устройство как часть обновления Windows, но их также можно проверить вручную. На странице "Защита от вирусов и угроз" в разделе Обновления защитыот вирусов и угроз выберите Проверить наличие обновлений , чтобы проверить наличие последних механизмов обнаружения угроз.

И хотя встроенного решения для защиты достаточно для большинства пользователей, бывают ситуации, в которых вы можете не захотеть пользоваться этой программой. К примеру, если вы настраиваете устройство, которое не будет выходить в сеть; если вам необходимо выполнить задачу, блокируемую этой программой; если вам нужно уложиться в требования политики безопасности вашей организации.

Как отключить Защитник Windows через настройки безопасности Windows

После этого антивирус отключит защиту компьютера в реальном времени, что позволит вам устанавливать приложения или выполнять определённую задачу, которая была недоступна вам из-за того, что антивирус блокировал необходимое действие.

Чтобы снова включить защиту в реальном времени, перезапустите компьютер или заново пройдите все этапы настроек, но на последнем шаге включите переключатель.

Это решение не является постоянным, но лучше всего подходит для отключения антивируса Windows 10 для выполнения определённой задачи.

Как отключить Защитник Windows через групповые политики

В версиях Windows 10 Pro и Enterprise вам доступен редактор локальных групповых политик, где можно навсегда отключить Защитника следующим образом:

Как отключить Защитник Windows через реестр

Если у вас нет доступа к редактору политик, или у вас установлена Windows 10 Home, вы можете отредактировать реестр Windows, отключив тем самым Защитника.

Напоминаю, что редактировать реестр рискованно, и ошибки в этом деле могут нанести непоправимый ущерб текущей установленной копии Windows. Лучше сделать резервную копию системы перед тем, как начинать редактирование.

Совет: этот путь можно скопировать и вставить в адресную строку редактора реестра.

Нажмите ОК, и перезапустите компьютер.

После этого Защитник Windows уже не будет защищать вашу систему. Если вы захотите отменить эти изменения, повторите все шаги, но в конце удалите этот ключ или назначьте ему значение 0.

Рекомендации

Несмотря на наличие нескольких методов отключения Защитника Windows, мы не рекомендуем использовать компьютер вообще без антивирусных программ. Однако вы можете столкнуться с ситуациями, в которых отключение этой функции будет лучшим вариантом. А если вы устанавливаете стороннюю программу-антивирус, вам не нужно отключать Защитника вручную, поскольку во время установки он отключится автоматически.

Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.

Часть 1. Бредово-ностальгическое вступление

В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.

Многие взгляды и мнения изменились.

Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.

Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.

Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.

А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.

Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))

Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.

Часть 2. Совсем немного теории

Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.

При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.

Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.

Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.

Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.

Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.

Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.

Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.

Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.

Часть 3. Практика

Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.

Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:

Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.

Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:

Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.

Детект снят — но мы не получили исполняемый файл.

В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:

Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.

Итоговый код выглядит следующим образом:

После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.

Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)

Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:

Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:

Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:

Вот как выглядит итог выполнения такого файла:

Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае :) В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.

6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.

Интересный итог я получил после сжатия итогового файла с помощью UPX командой:

Если делать это для самого первого нашего кода - который был вообще без проверок, то по детектам отвалился Antiy-AVL

Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.

Часть 4. Выводы

А можно без них? ;) Ну ладно.

Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.

Но дело не в том.

То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!

Архив с файлами, скриптами и результатами можно скачать здесь.

В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:

Читайте также: