Автодятлы, бестелесные малвары и никаких котиков: руководитель группы вирусных аналитиков «Лаборатории Касперского» — о том, как у них все устроено

На первый взгляд, в ней нет ничего необычного: основное — семья, хобби — кулинария, за плечами — музыкальная школа и победы на олимпиадах по литературе. Но именно от нее и ее команды зависит, проникнет ли новый хитроумный вирус на тот или иной объект. Знакомьтесь: Евгения Крылова, руководитель группы сменных вирусных аналитиков «Лаборатории Касперского». В интервью — подробности о том, как группа обрабатывает вирусы, зачем нужен «автодятел», чем удивляют злоумышленники и каково это — быть обычным человеком в жизни и героем на работе.

— Евгения, как вы определились в профессии, как нашли себя?
— Я считаю, что мне повезло. Не у каждого бывает момент, когда понимаешь, что хочешь заниматься именно этим. У меня такой момент был. История банальная: я ходила на подготовительные курсы при университете, там были занятия по информатике. У нас была замечательная преподавательница по алгоритмам. Там я узнала все тонкости алгоритмизации, научилась нормально программировать. И в это время увидела алгоритмы буквально с какого-то сказочного ракурса. Это меня так захватило! Все в жизни — алгоритм, все наши действия: почистить зубы, вызвать лифт — всё состоит из последовательности действий, циклов и ветвлений.

Алгоритмы мне дались легко. И я подумала, что хочу связать свою жизнь с программированием. Правда, с тем, что это будет безопасность, я определилась несколько позднее. В университете у меня была специальность «Комплексная защита объектов информатизации».
— То есть прямая дорога в «Лабораторию Касперского»?
— Нет, она не совсем по моей специальности. Многие мои сокурсники ушли в защиту информации для предприятий — составление модели угроз периметра организации, например, банка. Вирусный анализ мы не изучали в университете, был ассемблер. В целом понятно, что углубленным вещам не учат в вузе — их изучают самостоятельно либо на курсах.

В «Лабораторию Касперского» я пришла практикантом — и осталась вот уже на девять лет. Была стажером, младшим вирусным аналитиком. Последние два года возглавляю группу сменных вирусных аналитиков.
— Чем занимается ваша группа?
— Основная деятельность нашей команды — операционная. В режиме нон-стоп мы обрабатываем поток заявок от наших пользователей, саппорта, роботов. Заявки идут непрерывно, и их очень много.
Только те файлы, которые «автодятел» не смог категоризировать, попадают на ручной анализ к нам. Здесь, как ни крути, должен разбираться настоящий живой аналитик. Он запускает семпл в песочнице, снимает дамп, открывает файл в шестнадцатеричном редакторе, прогоняет через другие утилиты, анализирует код и в конечном итоге выносит вердикт. И только тогда этот «промаркированный» файл можно использовать в обучающей выборке «автодятла» — все последующие файлы, тем или иным образом похожие на этот, будут задетектированы автоматически.
Что касается ручного анализа, то здесь важную роль играет скорость. У нас есть SLA — обязательства перед нашими пользователями и партнерами. Мы должны осуществлять анализ как можно оперативнее, и нельзя в конце рабочего дня встать и уйти домой, оставив работу до утра. Поэтому у нас две смены в Москве и третья во Владивостоке — нужно 24 часа в сутки помогать пользователям и пострадавшим от разных вредоносов.
— Какой путь проходит заявка от поступления до финального вердикта?
— Допустим, есть сотрудник организации, которая не использует решение по выявлению целевых атак — Kaspersky Anti Targeted Attack Platform. Он получает по почте подозрительное вложение (резюме или invoice), установленное в компании защитное ПО не находит угрозу, но сотрудник сомневается. Он посылает вложение в «Лабораторию Касперского» и спрашивает, что делать.
— Сначала подозрительный объект анализируется «автодятлом». Если это исполняемый файл, то с большой вероятностью он уже проходил обработку ранее и по нему давно есть вердикт. В противном случае «автодятел» использует песочницу, поиск похожих файлов, анализ содержимого... И вот только если все наши инфраструктурные системы не смогут классифицировать объект, то подключается аналитик. Он определяет вредоносность объекта, если это зловред, то знание о зловредности нужно донести из «Антивирусной лаборатории» до продуктов. То есть «задетектить». Как правило, это тоже делает «автодятел», однако процесс дообучения матмодели или обобщение знаний о поведении занимает некоторое время. Чтобы пользователь сразу был защищен, антивирусный аналитик сам добавляет информацию в базы. А через какое-то время (как правило, несколько часов, зависит от метода детектирования) подтянется автодетект с различными продвинутыми слоями защиты.

Еще вирусный аналитик определяет, к какому семейству причислить вредоноса. Он выделяет главное вредоносное поведение из всего того, что делает «малвара». Это обеспечивает порядок в нашей вирусной коллекции и впоследствии сильно помогает «автодятлу» обобщать знания автоматически. Дело в том, что быстрая и надежная рекорда, которую обычно создает сотрудник моей группы, детектирует один или несколько файлов семейства. А те рекорды, которые создает «автодятел», способны детектировать все семейство, тысячи и более файлов.

Ну а в конце аналитик убеждается, что сформированный автоматикой ответ действительно отвечает на вопросы пользователя. Если тот интересовался еще чем-либо помимо подозрительного файла, ответ придется скорректировать.

Выходит, все держится на нас. Ведь именно мы даем первичные знания системам автообработки на базе машинного обучения. Если бы мы перестали обрабатывать уникальные и особые случаи, то через какое-то время «автодятлу» было бы не на чем дообучать свои матмодели. А ландшафт угроз меняется и, если защита не будет меняться, то со временем начнет деградировать.
— Как вы решаете, какие заявки обработать в первую очередь?
— Все заявки сортируются по приоритетам. На приоритет влияют ключевые слова: например, если автор заявки предполагает ложное срабатывание антивируса на чистый файл, то приоритет вырастет. Еще на приоритет влияет популярность анализируемого объекта (или его локально-устойчивой свертки, если речь о полиморфах).
— Были случаи, когда зловред маскировался под чистое приложение?
— Да, конечно, такое регулярно случается, и это не так просто распознать, если анализировать файл «глазами». Как правило, речь идет о пропатченных системных файлах. Видите ли, если мы имеем дело с классическим вирусом (то есть инфектором), то он при заражении вынужден изменить структуру «жертвы» (например, добавить лишнюю секцию в исполняемый файл), вставить код для размножения, добавить дешифратор своего тела, изменить точку входа... И это все замечательно бросается в глаза.

Если же речь идет о файле, пропатченном вручную, то там будет изменена буквально пара десятков байт: например, открытие бэкдора при вызове определенного экспорта в пропатченной DLL'ке. Но мы хорошо умеем распознавать и такие случаи. Дело в том, что у нас огромная коллекция чистых файлов и мы легко по похожести можем найти оригинал и сравнить, что же именно поменялось.

Бывает, конечно, и так, что автор пишет большое чистое приложение и изначально добавляет в него небольшую деструктивную функцию, или же разработчик софта сам подвергся взлому. Вот такой случай действительно может долго оставаться незамеченным, и закладка вскроется, только когда вредоносный код исполнится в реальной защищаемой системе и будет пойман поведенческой защитой. При условии, что закладка делает что-то плохое в системе, конечно.
— Используете ли вы для этого исходники вирусов?
— Исходного кода у нас нет, поэтому мы реверсим скомпилированные файлы. Это как в собранном домике Лего пытаться понять, что там внутри за перекрытия. Разреверсив файл, по коду Ассемблера мы понимаем, какую активность он несет, что делает.
— Какие объекты сложнее всего отловить и проанализировать?
— Из актуальных — бестелесная Malware, так называемые fileless-угрозы. У них нет файлов в системе: например, в стандартный планировщик задач прописывается запуск PowerShell-скрипта с длинной закодированной командной строкой. Зловред запускается самой ОС по расписанию, исполняется стандартным интерпретатором.
Если вредоносу нужно «проинжектить» модуль в чужой процесс, он, опять-таки, может достать его в закодированном виде из реестра или прямо из командной строки и использовать .NET Reflection, чтобы загрузить его в память, не сохраняя на диск. В целом у нас большой арсенал техник для борьбы с fileless-угрозами.
— Как изменились угрозы за последние три-пять лет?
— Я бы не сказала, что вот так прям кардинально что-то изменилось. Растет доля целевых атак, атаки становятся более изощренными: используются обычные чистые утилиты с особенной командной строкой, бесфайловые угрозы, интерпретаторы скриптов, шифровальщики, конечно же. Вредоносные майнеры на подъеме, а в прошлом году особенно актуальными стали веб-майнеры.

В корпоративном секторе, к сожалению, по-прежнему популярны методы социальной инженерии для первичного проникновения. Например, в бухгалтерию приходит инвойс или счет-фактура. Бухгалтеру очень интересно, за что же выставлен счет, он открывает вложение.
Само по себе это не приводит к заражению — при условии, что в этой компании вовремя ставят обновления безопасности. Но вот дальше сотрудника поджидает новая напасть.
Среднестатистический сотрудник захочет даблкликнуть. Не закрывать же документ, в самом деле? Тем более, так как атака целевая, письмо будет адресовано именно этому бухгалтеру (с обращением по имени-отчеству). Это работает, и без качественного защитного решения тут сложно противостоять.
Благодаря синергии защитных слоев, можно собрать контекст атаки: пришло по почте, ранее в мире не встречалось, JS-скрипт внутри документа обфусцирован, дропается легальная утилита для шифрования диска, удаляются бэкап-копии файлов, по всем этим признакам продукт принимает решение о блокировании активности.

С другой же стороны, бизнесу тоже нужно повышать ИБ-грамотность сотрудников, причем это актуально и для гигантов, и для небольших компаний.
— Изменилась ли специфика работы отдела на фоне лавинообразного роста рынка мобильных устройств?
— Файлы для мобильных и настольных систем анализируются с помощью разных инструментов и утилит. У нас в «Лаборатории Касперского» есть специальная команда, она анализирует приложения под все мобильные платформы. К нам тоже попадают заявки, связанные с мобильными приложениями, мы можем их обрабатывать, но глубокую экспертизу предоставляет именно эта команда.
— То, чем занимаетесь вы и ваша группа, можно считать уникальной и особенной работой?
— Моя деятельность не уникальна: я менеджер, менеджеров много. Я прекрасно это понимаю, сама раньше подшучивала над коллегами. Но быть менеджером технарей с высоким уровнем экспертизы, с уникальными задачами, которым не учат в университете, — в этом есть своя особенность. В группу нелегко найти новых людей с подходящими навыками, к примеру, реверс-инжиниринга файлов. Поэтому — да, у нас уникальная и специфическая деятельность.
— Вам больше нравится руководить или выходить на передовую, решать практические задачи?
— Я знаю, что многие менеджеры-технари страдают проблемами микроменеджмента. У меня такого не было. Мне сразу было комфортно отдавать задачи своим ребятам. Я полностью доверяю им и их техническим навыкам. По специфике их работа отличается от того, чем занималась я. Моя специализация — анализ сетевого трафика, детектирование по трафику. Когда есть кейсы из этой области, мы можем все вместе сесть и обсудить решение. В этой сфере я могу что-то сделать руками.

Мне больше нравится руководить. Стараюсь посещать конференции и делать ресерчи. Каждую задачу я анализирую, чтобы оценить, правильно ли я ее сформулировала и корректно ли донесла до ребят. При финальной проверке это помогает понять, насколько четко все было сделано.
— Расскажите о своей команде. Какие люди вам нужны?
— В команде десять человек. В человеческом плане ребята очень разные, есть тихие скромные интроверты, а есть активные заводилы. Многие недавно еще были студентами. В основном это либо выпускники-самоучки, которые прокачались в реверс-инжиниринге, либо ребята, которые немного поработали где-то.
— Что вы можете простить, а что — никогда?
— Я могу простить простую человеческую ошибку. Все мы люди, все можем ошибиться. Я не хочу, чтобы сотрудники превратились в роботов. И если человек осознал свою ошибку — впредь он работает внимательнее. Могу простить даже нелюбовь к котикам, тем более что сама их не люблю.

Не простила бы саботаж, злонамеренный подрыв рабочей деятельности. И, наверное, предательство. Не переход в другую компанию, а — в силу специфики нашей работы — переход на «сторону зла». Думаю, в «Лаборатории Касперского» никто бы такого не простил.
— Евгения, как вы думаете, ваше место в компании — на всю жизнь, как и семья?
— Я работаю в «Лаборатории Касперского» девять лет, потому что мне нравится то, чем я занимаюсь. Нравится, как развивается моя карьера, я люблю эту компанию. И дело не в том, что «всерьез и надолго», а в том, что за эти девять лет чувства не остыли. Поэтому я здесь.

Узнать об открытых вакансиях в «Лаборатории Касперского» можно тут.
Комментарии 56
    –4
    Антивирус — это вирус поражающий компы пользователей. Плати за страх — называется. Пользовался интивирусом касперского 6 лет… в итоге как то просто отказался вообще от любых антивирусов… удалил файл хост и ещё пару приёмов. машина летает и радует скоростью работы. Не устанавливайте у себя пресловутые антивирусы. Бэкап спасёт и вас и мир )))
      +7
      От утечек вас тоже бэкап спасает? Ну-ну. Или, может быть, у вас «нет никаких секретов»? Довольно распространенное заблуждение.
        –7
        утечки у вас где? у меня нет утечек и не может быть ))))
          –1
          Пароль от хабра, чтобы писать там всякие глупости? Нищий неуловимый Джо, конечно, может опасаться утечек (или г.полковник, который всё хранит в наличке, которую хранит в квартире, но такие тут не появляются). Остальные только думают что могут не опасаться.
            –1
            не устанавливайте браузеры, не выходите в интернет, не пользуйтесь флешками и дисками, не распространяйте ваш бэкап в облака. Все будет хорошо, о вас никто не узнает.
          +3
          Согласен, антивирус нужен в единственном случае — если комп подключен к какой-нибудь сети и имеет usb-порты и/или DVD-привод. Всем остальным — нафиг не нужен! :D
          –6
          Последний раз пользовался каким бы то ни было антивирусом в далёком 2009 году.

          Я и не знал, что антивирусные компании всё ещё существуют :)
            0
            Или у Вас качественно настроена политика безопасности Windows. Или же (что более вероятно) на компьютере целый «зоопарк».
              –2
              просто некоторые пользователи находят способ не «заражаться» тем чего и нет в помине и зачем мне антивирус в таком случае? более того иногда совсем не вредно поудалять «пустые» папочки в системе ( с определённой осторожностью и зная что именно можно удалить и о чудо вдруг ваша система не «стучит» в куда то. а тихо и проворно занимается тем делом для чего собственно и была установлена. Всем хороших снов и меньше СТРАХА перед вирусами ( которых нет )
                0
                У меня на одном из рабочих компьютеров до сих пор стоит ХР, без антивируса. Точнее, есть некоторое самописное «костыльное» решение, спрашивающее запускать ли новый процесс, настроен запрет на исполняемые файлы из %tmp% и все такое. И вирусов действительно нет. Но, есть 2 проблемы:
                1. Даже это решение бессильно против эксплоитов.
                2. Это решение подходит специалистам.
                Я не могу убедить своих маму или жену не переходить по ссылкам в соц.сетях, не открывать файлы, присланные по почте и все такое. Как говорится, «проблема танцующих кроликов» (с). Антивирус в этом плане жестко блокирует попытки юзера открыть вредоносный сайт/прогу и так далее.
                  0
                  Там он- АНТИВИРУС одно блокирует и спокойно «пропускает» то что ваш комп начинает майнить кому то и что то )))) Как то уловил этот момент, закрузка проца в 100 % температура проца в 99 градусов… перезагружать комп бестолку ибо на переходных процессах сгорит процессор и… как итог выйдя из браузера и пошныряв в процессах нашёл то что давало меня видеть этим майщикам. Хлопнул дверку перед ними. Всё. тишь и благодать. А для того чтобы словить всё это… просто запустил старенький браузер Опера 9.64 портативный и как то не стало и греться ничего на машине. А это значит то что выше и сказал. не опредилили меня желающие майнить на моём компе. нет просто такой возможности на старенькой програмке. Вот такая сказочка с хорошим финалом для меня. Решение всегда есть. просто нам его не говорят ибо кто тогда купит пустышки-антивирусы ))))
                    0
                    Ну так себе решение. В стареньком браузере довольно фигово работают современные интернетики, зато быть другие дыры, не завязанные на JS.
                      0
                      но решение сработало. а в «старых» браузерах было много хорошего и практичного
                +2
                Или же (что более вероятно) на компьютере целый «зоопарк».
                Вот сейчас проверил свою виндовую машинку для чистоты эксперимента. Свежий CureIt. Выборочная проверка: оперативка, загрузочные секторы, диск C: целиком + поиск руткитов.
                Результат проверки
                image
                Понятно, что файл hosts правлен руками, лично моими, и «угрозой» это считается только в воспаленном воображении доктора Веба. Там забанена гугл-аналитика и прочие яндекс-метрики. Ужасная угроза, ужасная.
                В остальном — системный диск машинке менял с год назад, с перестановкой системы. Нет, политики безопасности особо не настраивал, в «семерке» по умолчанию они не так плохи на мой непросвещенный взгляд.

                Но: у машины один пользователь, я. И этот пользователь слегка представляет себе, по каким ссылкам кликать, какие файлы открывать и прочая. В последний раз моя машинка заражалась еще под ХР, и долго тот вирь тоже не прожил.
                То есть не то, чтобы я призывал всех отказаться от антивируса на винде. Но при соблюдении некоторой цифровой гигиены шансы на заражение оказываются довольно невысоки.
                  0
                  Таким должен быть ответ айтишника антивирусам.

                  А еще, редко залетающий вирус — прекрасный повод переставить систему, что ускоряет комп и само по себе хорошо учит дисциплине бэкапа.
                    +1
                    Надеюсь, с ЗППП вы поаккуратнее.
              0
              >Бухгалтеру очень интересно, за что же выставлен счет, он открывает вложение.
              >Само по себе это не приводит к заражению — при условии, что в этой компании вовремя ставят обновления безопасности.

              Но обновления идут только против эксплойтинга уязвимостей, если в ворде включены макросы, а там именно макрос, то уже тут сразу и заражение.

              >JS-скрипт внутри документа обфусцирован

              Ого! А как засунуть жс в док?
                +1
                Ого! А как засунуть жс в док?

                Это ж док, туда что угодно можно впечатать. Он не обязательно должен там же сразу исполняться, достаточно доставить до жертвы…
                  0
                  Предположу, что здесь имелся в виду файл с расширением JS, содержащий код на языке не JavaScript, а JScript — это скриптовый язык, который Windows понимает «из коробки». Выполняются такие файлы с помощью интерпретатора wscript.exe.

                  Вот, сделал для примера простенький тестовый файлик. На Win7 должен отрабатывать нормально; на Win10 — в зависимости от того, настроена ли ассоциация JS-файлов с wscript.exe.

                  P.S. По поводу макросов: сейчас MS Office по умолчанию при открытии документа блокирует все макросы и отображает наверху плашку: тут макрос, он может вас убить, вы точно этого хотите?
                  Впрочем, сильно эта плашка пользователям не мешает))
                  –5
                  самый большой ВИРУС — это W10 с кучей шпионского ПО внутри системы.
                    –2
                    Не соглашусь. Все заявки о «шпионаже от Windows 10» были опровергнуты экспериментально. Известное ПО даже не пытается шпионить — это сразу вскроется. Лишь Бургер Кинг решился на такой шаг — но даже они закрывают конфиденциальную информацию и снимают только само приложение, а не весь экран всё время. Шпионское ПО как раз идёт с сомнительных сайтов, от которых Safe Browsing должен защищать: Firefox к примеру имеет свою базу вредоносных сайтов и не даёт на них заходить.
                      0
                      Это не шпионаж (у Win 10). Это называется «недокументированные возможности». И никто это не вскрывает.
                    0
                    А чего у вас аналитики такие медленные летом? Третью неделю пытаемся снять false-positive с последней версии, а вы всё морозитесь. Раньше всё как-то быстрее работало.
                      0
                      Ну раньше и трава зеленее была, я слышал))
                      Можете образец файла дать ради интереса?
                        0
                        магическим образом сегодня прочухались.
                          +1
                          Вот оно, доброе волшебство! :-)
                      0
                      А что если вирусы пишут производители антивирусов… да не, бред какой-то :)
                      • НЛО прилетело и опубликовало эту надпись здесь
                          –1
                          И чего эта «неплохая вещь» обнаружила за год на вашей машине? думается что как бы обнаруживает и как бы удаляет… я когда это понял и простился с этим антивирусом (был у меня 6 лет… и и как то ничего особо не находил почему то, а почему собственно не находил? ) Особо отмечу то, что когда отключал антивирус всё реально начинало летать на системе. ни тормозов ни зависаний. Это то и сподвигло начать жизнь без антивирусов и она эта жизнь прекрасна!
                          • НЛО прилетело и опубликовало эту надпись здесь
                              –1
                              находила то что сама и определяла как вред )))) ну ну и что же нашла и сколько? вы просто поймите антивирус видит то что вам надо показать что антивирус работает и «защищает»… и это как раз и есть «обман» потребителя ибо другой антивирус, то что ваш нашёл и определил «вредным» его почему то не видит в упор и естественно не удаляет. Так что всем продолжать бояться того чего и нет в помине )))))
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Ха ха чистили от того что он вам показал… это как в напёрстки, только шарика нет и не было. Ещё раз повторяю — ТРИ ГОДА БЕЗ АНТИВИРУСА и машина в порядке!!!
                            • НЛО прилетело и опубликовало эту надпись здесь
                                –2
                                Проверить то что вы хотите? Есть ли у вас «вирусы» прямо смех разбирает. Тогда почему одни антивирусы видят одни вирусы, а другие их в упор не видят?. А загадка то? У меня 6 машин без антивирусников!!! Правильно настроенная система. отключено всё что можно по системам безопасности винды и не только что можно, но и то что отключать как бы нельзя и о чудо при тестовых прогонах антивирусником на одной из машин за два года использования ничего не нашла ваша хвалёная антивирусная защита. Хвала знаниям реестра и разных хитростей настройки винды. Всем прочим рекомендую продолжать бояться не только вирусов. но и своей тени )))
                                  0
                                  Я, пожалуй, продолжу бояться, спасибо.
                              0
                              Интересно где вы гуляете в интернете что у вас сотни атак? Покажите место.
                                –1
                                она гуляет видимо на сайте «касперский» )))))))) а чем нужно заниматься в инете.чтобы заполучить мифическую атаку?
                                +1
                                Вы таки знаете, но случаи бывают разные.
                                Как то знакомая принесла мне ноутбук (я не «мастерломастер», но Итшник и этого не скрываю) — ноут ее подруги, подруге очень нужен ноут и нет знакомых кто бы мог починить.

                                Ну я как руки дошли, включаю его и… Это был просто какой то адов зоопарк. Помимо «блокироватора» винды который вообще не позволял работать там еще наверно под сотню вирусни было. Антивируса не было никакого;-)

                                Почистил все. Думаю откуда девушка может набрать столько вирусни.
                                Решил надо антивир поставить, чтобы мне второй раз этот ноут не увидеть.
                                Открываю оперу ярлыком с рабочего стола… а там!

                                Порно! С животными(!)…
                                О_О
                                Несколько десятков открытых вкладок с этими несчастными животными. Хотя кто знает кто там несчастнее. Конь или человеческая девушка. Коню то наверно пофигу…

                                Сразу понял откуда столько вирусни…
                                Надеюсь, я ответил вам где и чем надо заниматься в инете чтобы заполучить полный букет.

                                PS По словам знакомой подруга тоже очень удивилась. Но сразу опознала причину. Ноут часто брал «поиграть» младший брат.
                                  –2
                                  Какая «страшная» история… особо порадовал трюк с блокиратором винды. который мешал работать, ха ха ха. А вот «порно с животными » — мощный вирус в вашей голове, Для справки все айтишники знают что в порно вообще нет вирусов. теперь можете сами себе доказать обратное. Страшную историю оставьте себе на память и спите спокойно — вирусов нет!
                                    0
                                    все айтишники знают что в порно вообще нет вирусов
                                    Надеюсь, что мне таких айтишников на жизненном пути не встретится.
                                      0
                                      надейся и бойся вирусов
                                        0
                                        Обязательно. Всё лучше, чем быть ВИЧ-диссидентом в мире IT, как ты)
                                      0
                                      Простите, вы сюда с пикабу пришли? Или же цифра в вашем нике это возраст?
                                      Вы явно не итишник.

                                      В порно вирусов, без сомнения, нет. Но вот сайты которые распространяют как порно так и варез или же «наборы начинающего хакера» как правило добавляют и вирусню и трояны и… чего только не добавляют.
                                        0
                                        вам рекомендую изучить реестр винды и тогда вы поймёте где и как можно спокойно жить без ваших «антивирусников» и особо без вирусов, которых и нет!
                                          +1
                                          вы то очевидно изучили все 4000 экранов реестра)))

                                          Разговор с вами считаю бесполезным. Продолжайте его без меня. Могу подсказать новые темы:
                                          хакеров нет, взломов нет, эксплойтов нет, уязвимостей нет.

                                          И чтобы два раза не вставать:
                                          СПИДа — нет, ВИЧ — нет, Земля плоская.
                                            –2
                                            а моя система W7 грузится до рабстола за 18 сек и это с обычного диска с 5400 об. а у вас как системка то заточена пресловутый ITишник? а что это такое 4000 экранов реестра, а? Вы прямо смешите всех учёностью какой то неземной.
                                              +1
                                              Ясно:) Реестр вы тоже никогда не видели:)))

                                              У меня Fedora. И грузится быстрее чем за 18 секунд. Хотя и с ssd.
                                                –2
                                                Смешно очень стало совсем, так вы про винду и вовсе ничего не слышали и не знаете. умора. Одно слово вы — ITишник ещё тот. Тогда понятны ваши познания в вирусах и прочей ересе от ваших поставщиков антивирусников. Вот когда вы с обычного диска заставите винду грузиться за 18 секунд, то да вы наверно продвинетесь в знаниях и умениях. а пока вы просто — ФЕДОРА!
                                    0
                                    Достаточно скачать интсрукцию какую, не имея навыков в IT. Даже порноживотных не надо.
                                  0
                                  Во времена XP почти 99% защитой было лишить пользователя административных прав и обрезать ему права на запись везде, кроме рабочего стола и документов. У тех, кто работал под администратором, даже с антивирусом на компе могли выскочить всякие смс-блокировщики, особо лютые вирусы умудрялись убить даже антивирус Касперского и была частая практика — не сканировать комп установленным антивирусом, а загружаться с загрузочного диска и так вот лечить… Так прошли мои студенческие годы в админском аутсорсе.
                                  С момента выпуска Висты всё сильно изменилось в лучшую сторону, т.к. появился UAC, но тут уже от самого пользователя зависит, если ты за всю жизнь из софта скачал только MS Office из магазина Microsoft, winrar, 7-zip, k-lite и всё с официальных сайтов, а дальше твой комп как бы заморожен на несколько лет, только обновления сами прилетают, то тут пока сам не установишь вирусы себе на комп — они не установятся с учетом своевременных заплаток.
                                    0
                                    Время linux все еще продолжается:)
                                    Говорят под линуксы есть около 7ми вирусов. Но четыре из них нужно собирать под вашу версию линуса, а остальным не хватит библиотек.:-)
                                    И да! Они все запрашивают права суперпользователя.
                                      +1
                                      Ну в том и превосходство линукса, что там ты сидишь не под рутом. Если в Windows очень жестко урезать права, то от большинства бед поможет. Только вот шифровальщик в пользовательских директориях всё равно дел натворит, если его пользователь запустит, но от таких вещей антивирусы часто не спасали…
                                      Самое опасное — целевая атака, когда вредоносное ПО вполне обычная программа.
                                      Мне приходилось на некоторых серверах Linux (знакомые просили помочь) выпиливать интересные штуки, которые заливались в tmp, а потом запускались через cron ограниченного пользователя веб-сервера. Полноценный бинарик x64, в процессах отображается как exim, а на сервере установлен postfix, разбрасывал спам, пока ip сервера не улетел в бан. Чуть позже подобная штука устраивала ddos и хостер сервер прибил. Поэтому, для линукса тоже хватает зловредов, их можно найти у тех товарищей, кто арендует виртуалку вместо хостинга, поставил кто-то давно джумлу и всё работает, пока не случилась проблема…
                                        0
                                        Бекапиться надо:) Причем бекапить рутом и в папки которые для простого пользователя недоступны.

                                        Да-да-да! Вот как раз мой случай. Много лет назад арендовал себе хостинг с джумлой, а потом как то надоело. Думал оно будет работать пока оплачиваю. А вот фиг… Несколько лет поработало и сдохло. А времени починить нет.
                                          +2
                                          В подобных случаях работает жестокая настройка, в которой
                                          1. Выполнение php разрешается только из указанных директорий (чтобы из папки загрузок не запустили залитый скрипт)
                                          2. Прямой доступ разрешается только в нужные директории (по прямой ссылке не открыть что-то из системной папки с библиотеками)
                                          3. Хост запускается под пользователем, который не является владельцем папки www, все .htaccess, php и другие получают права только на чтение, в большинство директорий вообще нельзя ничего залить, даже если попытаешься установить новый плагин, ничего не выйдет.
                                          4. Можно еще exec, system, eval и другие функции прибить…
                                          В общем, заморозка и максимальный перевод в read-only обязательны для заброшенных проектов, где не ставятся заплатки своевременно

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.