Вирусы в энциклопедии касперского

Обновлено: 19.04.2024

В поисках смысла

Практическая польза от всего моего хобби, связанного с коллекционированием ноутбуков конца 90х, довольно сомнительная. Помня об этом, я в определенный момент перестал покупать новые-старые компьютеры. Сосредоточился на доведении конфигурации имеющихся у меня экземпляров до нужной кондиции (смотрите один из предыдущих постов и периодические апдейты в моем телеграм-канале). Но железо тут не так уж и важно. Софт, в контексте воссоздания тогдашнего окружения, интереснее и сложнее. Вот где подлинная цифровая археология, причем для нее даже старое железо не всегда требуется, достаточно эмуляторов (но не всегда).

Вероятность такого инцидента достаточно высокая: в ситуации, когда сайты производителей уже давно выключены, или контент на них тридцать три раза поменялся, откуда только не приходится доставать нужные дистрибутивы игр и программ. Могут ли они быть заражены? Да сколько угодно, и чем угодно. Мой опыт показывает, что со старыми вредоносными программами, как и с новыми, лучше всего справляется современное защитное ПО. Поэтому сетевые раскопки я провожу в изолированной виртуальной машине, и потом обязательно сканирую весь улов, во избежание. Древний антивирус на древней системе у меня теперь установлен по той же причине, по которой там стоит WinAMP — есть плееры поновее и поудобнее, но так аутентичнее.

Раскопки

Собственно сайт avp.su из 1997 года дает массу приятного чтива об антивирусной науке тех лет, иногда правда переключаясь с быстрой локальной копии на невероятно тормозной веб-архив. А вот файлов там нет, точнее есть только оффлайн-редакция "вирусной энциклопедии AVP". Впрочем оттуда можно добыть имена файлов, и по ним уже поискать. А какие вообще у нас рамки поиска? Для этого я все же отправился в веб-архив и копал сайт техподдержки, пока не нашел вот это.

Ой нет, не это. Вот это:

Судя по всему, Kaspersky Anti-Virus 6.0 — это самая свежия версия, которая пойдет на моем винтажном железе под управлением Windows 98. Windows XP в данном эксперименте я в расчет не беру — с третьим сервис-паком вы можете установить на нее Kaspersky Internet Security 2017, которая официально поддерживается до сих пор. Триалка шестой версии без особых проблем находится в сети: данные пятнадцатилетней давности обычно ищутся легко. Вот дальше уже сложнее, хотя в веб-архиве лежит копия некогда известного сайта Tucows, и там есть версия Kaspersky Anti-Virus Personal Pro от 2004 года.

А еще дальше? Вот тут начинаются проблемы. Веб-архив ранних версий сайтов как правило не хранит файлы, надежды найти там что-то немного, особенно если на сайте использовали динамические ссылки. Помогли уникальные имена файлов, креативное гугление по которым привело меня на пару FTP-серверов, которые, кажется, как настроили в 1998 году, так они и работают.

А что это там у нас в последней строчке? Ай-ай, Семен Семеныч, как же так… Ссылку на FTP давать не буду, опасаясь хабраэффекта: либо сломается, либо закроют, обидно будет терять такой артефакт. Все-таки в раннем интернете было хорошо: все свои, все открыто настежь, народу немного. По сравнению с сетью двадцатилетней давности интернет сегодня — это коллекция заборов разной степени высоты, и ведь по делу! Открытый FTP в 2018 году — это конечно не как открытый SMTP-сервер, но похоже.

Наконец-то дистрибутивы добыты, и можно начинать испытания. Я решил ограничиться тремя версиями антивируса: для DOS, ранняя версия для Windows 95 и самая современная версия для Windows 98.

AntiViral Toolkit Pro by Eugene Kaspersky для DOS Version 3.0

Для работы в чистой MS-DOS 6.22 и Windows 3.11 я использую один из пяти ноутбуков ThinkPad 600, подробнее о котором можно почитать тут. В DOS работают USB-флешки, поэтому переписать нужную программу с современного компьютера просто. А дальше мы видим…

Дальше мы видим, что я забыл установить русификатор. Добываю безотказный keyrus — кажется это та программа, с которой у меня никогда, нигде не возникало проблем. По крайней мере, последние 25 лет. Подробнее о программе и ее авторе — тут.

Так гораздо лучше, но не работает. Идем обратно на винтажный сайт: ах да, нужны же еще базы с информацией о самых свежих вирусах. В отсутствие механизма, да даже самой инфраструктуры для апдейтов онлайн, требовалось регулярно скачивать с сайта очередной архив с антивирусными базами. Подозреваю, что были и другие каналы, ныне нам неизвестные. BBS? Физическая почта?

Antiviral Toolkit Pro by Eugene Kaspersky for Microsoft Windows 95

Эта программа — новый шаг в борьбе с компьютерными вирусами, представляет из себя полностью 32 разрядное приложение, оптимизированное для работы в среде Microsoft Windows 95 и использующее все возможности, которые эта среда предоставляет.

Ах, этот винтажный дизайн. AVP для Windows, она же AVP32, уже имела знакомые нам функции, которые сейчас кажутся стандартными, вроде автоматического обновления.

Впрочем это не то автоматическое обновление, которое вы себе представляете.

Kaspersky Anti-Virus 6.0

Emotet: модули и атаки начала 2022 года

Lazarus распространяет протрояненный DeFi-кошелек

О состоянии сталкерского ПО в 2021 году

Уязвимость Spring4Shell (CVE-2022-22965): описание и противодействие

CVE-2022-0847 — уязвимость Dirty Pipe в ядре Linux

Угрозы

Последние публикации

Ландшафт угроз для систем промышленной автоматизации, второе полугодие 2021

Финансовые киберугрозы в 2021 году

Мобильная вирусология 2021

DDoS-атаки в четвертом квартале 2021 года

Спам и фишинг в 2021 году

Статистика и основные тенденции в спаме и фишинге за 2021 год: мошенничество с инвестициями, поддельные трансляции, угон корпоративных аккаунтов и COVID-19.

Безопасность телемедицины: новый фронт в медицине и кибербезопасности

MoonBounce: скрытая угроза в UEFI

Kaspersky Security Bulletin 2021. Статистика

Статистика по основным угрозам 2021 года: майнеры, программы-вымогатели, банковские троянцы и другие финансовые зловреды, актуальные уязвимости и эксплойты, веб-атаки.

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

PuzzleMaker атакует, используя цепочку эксплойтов нулевого дня под Chrome

Мы зафиксировали волну целевых атак, для осуществления которых использовалась цепочка эксплойтов нулевого дня для Google Chrome и Microsoft Windows.

Lazarus атакует оборонную промышленность с помощью ThreatNeedle

В 2020 году мы обнаружили, что группировка Lazarus запустила атаки на оборонную промышленность с использованием вредоносных программ ThreatNeedle, относящихся к кластеру вредоносного ПО Manuscrypt (также известен как NukeSped).

Вирус. Если просто, то это самовоспроизводящийся программный код, который внедряется в установленные программы без согласия пользователя. Вирусы можно разделить по типу объектов, которые они заражают, по методам заражения и выбора жертв. Вирусы можно подцепить разными способами: от нажатия вредоносной ссылки или файла в неизвестном письме до заражения на вредоносном сайте. При этом вирус может выполнять множество разных задач, направленных в первую очередь на принесение вреда операционной системе. В настоящее время вирусы довольно редки, так как создатели вредоносов стараются держать свои программы и их распространение под контролем. В противном случае вирус довольно быстро попадает в руки антивирусных компаний.

Червь. Черви являются в некотором роде вирусами, так как созданы на основе саморазмножающихся программ. Однако черви не могут заражать существующие файлы. Вместо этого червь поселяется в компьютер отдельным файлом и ищет уязвимости в Сети или системе для дальнейшего распространения себя. Черви также могут подразделяться по способу заражения (электронная почта, мессенджеры, обмен файлами и пр.). Некоторые черви существуют в виде сохраненных на жестком диске файлов, а некоторые поселяются лишь в оперативной памяти компьютера.

Троян. По своему действию является противоположностью вирусам и червям. Его предлагают загрузить под видом законного приложения, однако вместо заявленной функциональности он делает то, что нужно злоумышленникам. Троянцы получили свое название от одноименного печально известного мифологического коня, так как под видом какой-либо полезной программы или утилиты в систему проникает деструктивный элемент. Трояны не самовоспроизводятся и не распространяются сами по себе. Однако с увеличением вала информации и файлов в Интернете трояна стало довольно легко подцепить. Нынешние трояны эволюционировали до таких сложных форм, как, например, бэкдор (троян, пытающийся взять на себя администрирование компьютера) и троян-загрузчик (устанавливает на компьютер жертвы вредоносный код).

Руткит. В современном мире руткит представляет собой особую часть вредоносных программ, разработанных специально, чтобы скрыть присутствие вредоносного кода и его действия от пользователя и установленного защитного программного обеспечения. Это возможно благодаря тесной интеграции руткита с операционной системой. А некоторые руткиты могут начать свою работу прежде, чем загрузится операционная система. Таких называют буткитами. Однако, как бы ни развивался этот тип вредоносов, сложные современные антивирусные программы в состоянии обнаружить и обезвредить практически все существующие разновидности руткитов.

Бэкдор (средство удаленного администрирования). Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии. В зависимости от функциональных особенностей конкрентного бэкдора, хакер может установить и запустить на компьютере жертвы любое программное обеспечение, сохранять все нажатия клавиш, загружать и сохранять любые файлы, включать микрофон или камеру. Словом, брать на себя контроль за компьютером и информацией жертвы.

Загрузчик. Эта зараза является небольшой частью кода, используемой для дальнейшей загрузки и установки полной версии вредоноса. После того как загрузчик попадает в систему путем сохранения вложения электронного письма или, например, при просмотре зараженной картинки, он соединяется с удаленным сервером и загружает весь вредонос.

Для начала знакомства с разновидностями вредоносных программ вполне достаточно. Зная врага в лицо, уже легче находиться в безопасности и использовать правильные методы защиты от него. Единственное, в чем надо убедиться, так это в том, что вы используете правильное защитное ПО.