Вирусы и антивирусы

В своей предыдущей статье я рассказал о том, насколько «хорош» хостинг 000webhost.com. К ней оставили комментарий, в котором пытались сказать, что я неправ. Создалось такое впечатление, что комментатор — чуть ли не владелец хостинга ;) Конечно, я ответил, но что-то меня заставило вернуться и еще поразмышлять над этой темой. Вот результаты моих размышлений.

Итак, нам известно, что бесплатный хостинг 000webhost.com для завершения регистрации предлагает скачать и запустить программу ip_confirm.exe, якобы для проверки IP. При запуске ip_confirm.exe выдает код, который нужно скопировать в форму на сайте. Однако выясняется, что помимо генерации кода ip_confirm.exe создает в \Windows\System32 некий файл nvsyst32.exe, который автоматически запускается из реестра при загрузке системы. По поведению nvsyst32.exe очень напоминает вирус, потому что простое удаление этого файла и ключа в реестре не помогает, файл появляется опять.

Можно предположить, что мне не повезло, и я зарегистрировался как раз тогда, когда сайт хостинга был взломан. Если сайт хостинга оказался взломанным, то, вероятно, сайтам клиентов грозит аналогичная опасность.

Останавливаемся на другом варианте: владельцы хостинга специально внедряют посторонний процесс на компьютеры пользователей. Даже если верна версия о том, что настолько подозрительный файл используется всего лишь для пресечения накруток по партнерской программе, всё равно это незаконное проникновение на компьютер пользователя. Программа ведь делает не то, о чем было заявлено создателями. Мне не хочется сейчас изучать юридические документы, но наверняка существует закон, запрещающий подобные действия. И вообще, если бы действие происходило в Америке, можно было бы подать в суд и с определенной вероятностью выиграть :)

Установленный для решения проблемы с nvsyst32.exe антивирус Касперского 2009 оказался вполне приличным антивирусом. Проблему он решил. Снижения производительности компьютера я не заметил. Правда, я по привычке отыскал файлик с ключом. Через некоторое время антивирус отказался работать — видимо, в Сети оказался другой компьютер, использующий этот же ключ. И тут я решил воспользоваться тем, что студентам МФТИ лицензии к «домашним» продуктам Лаборатории Касперского предоставляются бесплатно.

Я сделаю небольшое лирическое отступление и расскажу, как так получилось. В 2005 году в МФТИ проходила лекция Евгения Касперского. Рассказывал он о современных тенденциях в борьбе хакеров и авторов антивирусных программ. После лекции он отвечал на вопросы (студенты писали их на бумажках и передавали). Касперский зачитывает очередной вопрос: «Почему бы не сделать антивирус бесплатным для студентов физтеха?» и отвечает «Отличный вопрос». Потом он поднял эту бумажку и сказал, что передаст ее в отдел продаж. Формальности были улажены, и у студентов МФТИ действительно появилась такая возможность.

Тогда я ей пользоваться не стал, ведь все ругали антивирус Касперского за медлительность. Сам Касперский обещал, что новая версия, которую они тогда успели выпустить, или только собирались, не будет так тормозить. Это я проверил только теперь, когда окончательно разочаровался в NOD32.

Таким образом, за всё время знакомства с компьютерами я пользовался антивирусами в таком порядке: AVP, Norton Antivirus (он же Symantec), NOD32 и, наконец, опять антивирус Касперского. Кто там говорил о развитии по спирали? ;)