Все мы привыкли к мнению, что без антивируса, а еще лучше Internet Security безопасная жизнь на винде невозможна. Хочешь обойтись без него — добро пожаловать на Linux или OS X. А так ли это на самом деле? Давай проверим на практике! Подопытных систем у нас будет две: Windows 7, потому что она крутая и вообще респект ей, и Windows 10, потому что ее агрессивно продвигает Microsoft, всегда есть шанс на нее случайно обновиться :), да и, так или иначе, все равно пользователи винды на нее рано или поздно пересядут.

 

Наш план

Мы возьмем две чистые системы — Windows 7 SP1 и Windows 10 со всеми последними обновлениями, которые только будут найдены. Стандартные средства (вроде защитника Windows) будут выключены, сторонние антивирусы — не установлены. После этого будем открывать инфицированные документы и проверять улов. Для проверки будет использоваться не требующий установки сканер от Dr.Web (CureIt) — это гарантия того, что ни один антивирус не будет запущен в реальном времени.

 

Начинаем издалека: старые вирусы

Однажды я разбирал свои архивы и очень удивился, когда увидел бурную реакцию современного антивируса на старые вирусы и даже asm-файлы. Понятное дело, что от asm-файлов ничего хорошего ждать не приходится :), но DOS-овским вирусам-то за что досталось? Простая программистская логика подсказывает, что вирусы времен DOS — Windows 98 современной винде не страшны. Но проверим!

Я достал старый архив Live Viruses 3732 for Anti-Virus Testing и начал их запускать. Ничего не вышло — старые вирусы несовместимы с семеркой. Логика победила!

Старые вирусы не запускаются
Старые вирусы не запускаются

Подобный тест в десятке проводить не стану — и так понятен его результат.

 

Промежуточный вывод

Cтарые вирусы новым системам не страшны. В антивирусных базах современных защитничков они присутствуют исключительно как балласт и дань традициям.

 

Посещаем неблагонадежные сайты

Подобно Семену Семеновичу Горбункову, который искал неприятности на свой гипс, посещая всевозможные места, мы займемся тем же самым, но в виртуальном мире. В этом тесте ось будет со всеми апдейтами, в качестве браузера — Chrome, а вот антивируса не будет.

Для начала я стану щелкать по всем подряд рекламным баннерам. Chrome (для большей правдоподобности использую его, а не IE) помогает в обеспечении безопасности — он то и дело закрывает различные всплывающие окна, в одном из них как раз может быть вирус. URL специально затерт, дабы не делать бесплатной рекламы сайту.

Блокировка всплывающих окон
Блокировка всплывающих окон

Похоже, что от перехода по рекламным баннерам никакой вирус в моей системе не поселился. Поэтому пришлось искать списки сайтов, явно распространяющих вирусы. И такой список я нашел. Далее все просто: буду заходить на сайты из списка (не на все, а выборочно) — посмотрим, что из этого выйдет.

Вот что будет, если браузер направить на сайт, находящийся в «черном списке». Конечно, я проигнорирую предупреждение и зайду на этот сайт (а как же, ведь на нем есть интересующий меня контент — вирус). Обычного юзера, понятное дело, заинтересует другой контент, например серийник для какой-то программы.

Совсем уж неблагонадежный сайт
Совсем уж неблагонадежный сайт

После перехода на сайт всплывающие окна размножаются быстрее, чем кролики. Браузер их блокировал, а я, в свою очередь, снимал блокировку :). Не знаю, инфицирован компьютер или нет, но Chrome повис намертво. Пришлось убить процесс. Ура! Троян HTML:Popupper-B оказался сильнее моего Chrome.

Размножение всплывающих окон
Размножение всплывающих окон

Интересно, что Chrome ругается не на все вирусы из списка — то ли с определенных сайтов был удален вредоносный код, то ли их просто нет в базе Chrome. Был бы установлен антивирус, можно было бы сказать конкретнее.

 

Промежуточный вывод

После нескольких часов странствий в интернете я решил оценить улов и запустил сканер CureIt. Увы, все мои старания тщетны: вирусов не найдено.

Вирусов нет
Вирусов нет
 

Призываем на помощь родственников

Родственники! Вот по-настоящему надежный источник! Несколько часов я серфил самые подозрительные сайты, пока не вспомнил про компьютер, который в основном используют жена с дочкой и на котором уже год как не установлен какой-либо антивирус.
Загружаю CureIt на него и жду, пока он просканирует все диски. Увы, результат такой же. Вирусов нет.

 

Промежуточный вывод

Родственники не помогли. Малварь пока не поймана.

 

Призываем на помощь коллег

Я кинул клич и спустя несколько дней получил отличную подборку современной малвари от нуля до десяти лет выдержки: 139 файлов, из них 118 инфицированных документов (doc и PDF), остальное — EXE.

В качестве офисного пакета будет использоваться Microsoft Office 2013 SP1 — не самая новая, но и не самая старая версия MS Office. Думаю, что далеко не все перешли на 2016, поэтому и рассматривать ее пока нет смысла. Обрати внимание, что Microsoft Office все-таки отягощен сервис-паком.

Методика следующая: сначала я буду открывать инфицированные документы Word, потом — PDF, а уже потом — EXE. После каждой группы файлов система будет проверяться с помощью CureIt (если, конечно, выживет).

Защитник Windows в Windows 10

Прежде чем начну, скажу пару слов о защитнике Windows в десятке. Фича не новая — она есть и в семерке. Но вот в десятке это, похоже, полноценный антивирус. Сначала я забыл отключить в Windows 10 встроенный антивирус — защитник Windows. На удивление он отлично отработал (как выяснилось, в семерке он тоже был включен, но никаких уведомлений от него я не получал).

Защитник Windows обнаружил вирус
Защитник Windows обнаружил вирус

Параметры защитника Windows
Параметры защитника Windows

Потом для чистоты эксперимента пришлось отключить штатный антивирус и заново распаковать архив с вирусами — некоторые антивирус уже успел уничтожить. Самое интересное, что после перезагрузки защита снова включается, хочешь ты этого или нет. Поэтому при написании статьи (когда дело дошло до EXE-файлов) случился небольшой конфуз. После успешного инфицирования десятки я запустил CureIt, но он работал настолько медленно (ведь параллельно оставались запущенными десятки вирусов), что мне пришлось перезагрузить комп. А после перезагрузки обнаружилось, что вирусов нет. Куда они подевались? Штатный антивирус успел их обезвредить, пока я отлучился от компа.

После повторного инфицирования пришлось действовать очень быстро и сразу после загрузки винды выключить антивирус, который включается «добровольно-принудительно». Для тех, кто хочет отключить его полностью, — нужно отключить его службу.

 

Документы Microsoft Word

Инфицировать систему документами Microsoft Word не выйдет, если не включать макросы. На скрине ниже показано типичное содержимое такого документа — мол, контент не виден, пока не включите макросы. По умолчанию выполнение макросов отключено.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


8 комментариев

  1. ScorpioT1000

    07.04.2016 at 13:39

    Особенно «радуют» такие «испытания», когда «испытывают» Chrome вместо безопасного _встроенного_ Edge, отключают _встроенный_ и свключенный по умолчанию Defender, наверняка пользуются не последними апдейтами.
    Не быть!

  2. Evang

    07.04.2016 at 19:20

    Поправочка: старые вирусы не запустятся на 64-битной системе, так как там нет эмулятора доса. А вот на 32-битной они может чего-нибудь и позаражают…

  3. mYoda

    07.04.2016 at 20:51

    Как сказал мой шеф, перед тем как мы начали разработку очередного антивируса — «Антивирус — это прежде всего самый настоящий вирус!»
    моей семерке без антивируса уже 3-й год идет. полет нормальный. Но часто приходилось ручками находить и удалять… но и даже эти появились в системе в результате осознанных говнодействий… так что вывод статьи правильный!

    • 0ri0n

      10.04.2016 at 18:19

      » Но часто приходилось ручками находить и удалять… но и даже эти появились в системе в результате осознанных говнодействий»
      Т.е. на поиск в ручную ты тратишь больше 1000 мс. Следовательно вирус успевает переслать все твои данные на сервак.
      По сути ты этому вирусу уже не нужен. Так что дальше можешь работать. Он тебе не помешает))

  4. 3wd

    10.04.2016 at 22:47

    Ок, все это очень интересно, но тогда какого все мои знакомые постоянно просят им помочь «сделать чтоб комп нормально работал/загружался» будь то 7/8/10 винда? Обычному пользователю глубоко пофиг на uac, брендмауэр и прочее, если ему внезапно понадобился ломаный офис или еще что-то он тыкнет на первую строку в поисковике и на все предложения не читая ответит да и этого не изменить.

    зы linux наше все)

  5. linkmaster

    16.04.2016 at 13:43

    Пользую Win10 со штатным безвирусником. (Со времён семёрки ещё). Defender красава, нормально всё работает. Просто не забываем, что главный вирус у компа находится между дисплеем и креслом. На десятке пришлось Smartscreen отключить, т.к. некоторые файлообменники (которыми как раз со времён семёрки пользуюсь) блокирует. А ещё, например, vkmusic с оффсайта, даже utorrent, к примеру, тоже…

Оставить мнение

Check Also

WTF is APT? Продвинутые атаки, хитрости и методы защиты

Наверняка ты уже читал о масштабных сетевых атаках, от которых пострадали банки, крупные п…