Архив:Разбор полетов антивируса Иммунитет
Автор — priv8v.
Вот примерный разбор полетов этого «антивируса» (далее антивирус без кавычек), но анализ поверхностный сделанный в течение 20 минут в три часа ночи.
1. При запуске антивирус создает кучу процессов, которые порождают кучу cmd.exe выполняющих такую же кучу bat-файлов, запиханных в системные директории. Суть этих действий такова:
С некоей задержкой (которая создана способом ping mail.ru) производятся действия по редактированию некоторых мест реестра, которые любит коцать малварь (например, параметра Shell и Userinit) — производится их перезапись на дефолтное значение. Также производится проверка на всех дисках до буквы J наличие файла autorun.inf для попытки его удаления как мегаопасного вируса. Также производится перезапись файла hosts на относительный дефолт (без МС-овских комментов). Также производится мониторинг (также проверка в цикле через определенный таймаут) новых файлов в некоторых системных и не очень папках, на что затем выдается алерт об обнаружении и выбор что же с ним делать.
2. Эпическая фраза про гусей и что с ними нужно делать присутствует в главном окне настроек в правом нижнем углу
3. В программе присутствует большое количество разных «плюшек» — видимо именно на них и ушло 50к строк кода — диспетчер процессов, твикер системы и т.д
4. Разумеется, что поиск вирусов ведется не по милионной базе с эвристиком и сканером не только по ЕР, но и ОЕР (неужели автор как-то заходил на васм и вычитал эти три буквы?). Поиск по фиксированно-относительным именам файлов, найденных из описаний вирусов сайта viruslist трехлетней давности. Вроде как есть чуть поиска по маске имени файла и по паре каких-то контрольных сумм. Но ни о каком сканировании OEP речи и быть не может — даже PEiD в этом плане со своей базой ушел намного дальше, не говоря уже о exeinfo pe
Где обещанные миллионы сигнатур, эвристический детект, песочница для меня осталось загадкой.
Стоит отметить, что как и можно ожидать от бат-файлов и прочих технологий «цикличного нуля» все это работает криво и косо, ни о какой серьезности данных действий даже говорить не стоит, причем не ясно с какого момента начинать критику. Потому приведу пошаговые примеры работы реальных малварей против которых пытается нас защитить данный продукт:
1. Данный продукт не защищает от актуальных угроз — он с ними просто не знаком. Он знает лишь фиксированно-относительные пути нескольких популярных некогда зловредов, а его «проактивные технологии» — обход в цикле директорий на предмет обнаружения там файлов никак не мешает работе вредоносного программного обеспечения, лишь еденицам самым простым зловредам, авторы которых своими знаниями не сильно отличаются от автора данного антивируса, это может помешать укоренению в системе.
2. Рассмотрим типичную малварь, редактирующую hosts: в файл вносятся изменения, ему устанавливаются атрибуты скрыто-системный-… и малварь самоудаляется. Против этого антивирус бессилен — он не сможет вернуть содержимое к стандартным значениям т.к такой алгоритм действий у него не предусмотрен, он не сможет вернуть атрибуты обратно и потереть лишние зловредные записи.
3. Обычно если зловред прописывается в автозагрузку в Shell или Userinit, то он тоже мониторит свои ключи (только в более коротком цикле) и пересоздает их или и вовсе отнимает права на эту ветку реестра, что опять же делает антивирус бессильным.
4. Защита от установки драйвера также лишена смысл — драйвер создается и загружается в память — после чего обнаружение его файла на диске не имеет никакого смысла — он уже укоренился в системе.
В качестве заключения хочется сказать, что все это непотребство глючит, мешает работе, выдает алерты, требует 450 рублей в год и мешает нормально выключить компьютер, т.к эта висящая куча процессов никак не ожидает такого подвоха и начинаются алерты о необходимости их завершения.
Все выводы делать только вам.
PS: это небольшое исследование произведено для того, чтобы посылать его читать всех, кто считает, что автора данного чуда ругают и стебут незаслуженно. Читайте на здоровье.