Компьютерные вирусы, которые блокируют антивирусные программы

Компьютерные вирусы, которые блокируют антивирусные программы: взгляд из окопов

Знаете, сколько раз мне говорили: «Да у меня же антивирус стоит, что мне бояться?» За двадцать лет в этой профессии, я видел такие «чудеса», что порой сам себе не верил. Особенно меня «радуют» те экземпляры вредоносного ПО, что не просто сидят тихо, а целенаправленно глушат твой щит – антивирусную программу. В наших реалиях 2025 года, когда киберугрозы стали изощреннее, а пользователи по-прежнему верят в «волшебную таблетку», эта проблема стоит особенно остро.

Как они работают: искусство маскировки и саботажа

Представьте себе вора, который, прежде чем залезть в дом, сначала выключает сигнализацию и камеру. Вот примерно так же действуют эти вирусы. Они не просто шифруют файлы или показывают навязчивую рекламу; их первая задача – обезвредить того, кто должен их поймать. Это не просто знание фактов из учебника, это то, с чем я сталкиваюсь постоянно, когда меня вызывают «посмотреть, что там с компьютером».

• Завершение процессов и служб: Самое простое и наглое. Вирус тупо «убивает» процессы антивируса или заставляет их зависнуть. Я видел, как один «зверь» просто нагло завершал `avp.exe` (это процесс Касперского) каждые 5 секунд. Антивирус запускается, вирус его глушит. Бесконечная петля.
• Манипуляции с драйверами: Это уже похитрее. Антивирусные программы используют низкоуровневые драйверы, чтобы контролировать систему на самом глубоком уровне. Вирус может выгрузить эти драйверы, повредить их или даже подменить своими. Представьте, что у вас глаза и уши, но кто-то подменил их на неработающие копии.
• Изменения в реестре: Классика жанра. Вирус меняет ключи в реестре, чтобы антивирус не мог запуститься при старте системы, или чтобы его обновления не приходили. Он может прописать себя в автозагрузку вместо антивируса, или просто удалить записи, необходимые для его корректной работы.
• Перенаправление трафика через файл hosts: Помните файл `hosts`? Это такой текстовый файл, который система использует для сопоставления доменных имен и IP-адресов. Вирус может добавить в него записи, которые перенаправляют запросы к серверам обновлений антивируса на левые IP или в никуда (например, на 127.0.0.1). И сидишь ты такой, думаешь, что у тебя свежие базы, а на деле – пустышка.
• API-хуки и DLL-инъекции: Это уже высший пилотаж. Вирус внедряет свой код в системные библиотеки (`DLL`), которые используют все программы, включая антивирус. Когда антивирус пытается «спросить» у системы что-то важное (например, список запущенных процессов или содержимое файла), вирус ему «подсовывает» свою ложь, скрывая себя или другие вредоносные объекты.
• Руткиты и буткиты: Самые мерзкие. Они оседают так глубоко, что антивирус их просто не видит, потому что вирус контролирует то, что антивирус видит. Руткиты прячутся в ядре операционной системы, а буткиты – в главном загрузочном секторе (MBR) или даже в UEFI/BIOS. Представьте, что вы смотрите на картину, а художник уже заранее нарисовал на ней очки, которые вам мешают увидеть настоящий цвет. Один раз столкнулся с буткитом, который сидел в MBR и не давал загрузиться Windows, если не отключался антивирус. Пришлось вытаскивать диск и лечить на другой машине.

Почему обычные методы пасуют: российская специфика

В наших реалиях есть свои «особенности», которые делают нас особенно уязвимыми перед такими вирусами:

• Любовь к «крякам» и «активаторам»: У нас обожают «бесплатный» софт. А в этих «кряках», «активаторах» и «пиратских сборках» Windows, как правило, уже сидит эта зараза. Часто она уже умеет отключать Защитник Windows или добавлять себя в исключения популярных антивирусов.
• «Домашние» сборки Windows: Особенно «от Васи Пупкина» или «Супер-Геймерская сборка 2024». Там часто уже отключены UAC (контроль учетных записей), Защитник Windows, а иногда и точки восстановления. Автор такой сборки мог сам не знать, что в ней уже что-то сидит, или, что хуже, сознательно добавил.
• Игнорирование обновлений: «Работает – не трогай» – девиз многих пользователей. А ведь обновления антивирусов и самой операционной системы содержат патчи для уязвимостей, которые вирусы активно эксплуатируют.
• Отсутствие бэкапов: Кто у нас делает бэкапы? Единицы. А ведь это первая линия обороны от шифровальщиков, которые часто идут в комплекте с блокировщиками антивирусов.
• Наивная вера в «один антивирус»: Люди думают: «Раз Касперский стоит, я в домике». А вирус заточен именно под Касперского, или Dr.Web, или ESET. И он знает его слабые места.
• «Подпольные» форумы: На специализированных форумах, где «добрые люди» делятся «бесплатным софтом», часто можно наткнуться на уже зараженные дистрибутивы. И там, поверьте, авторы вирусов знают, как обойти популярные антивирусы. Они даже делятся «обходами» для конкретных версий антивирусного ПО.

Военные хроники: мои кейсы из окопов

Кейс 1: Призрак антивируса

Помню, как-то раз, приехал к одному клиенту, у него на компе Avast показывал зеленую галочку, все ОК. А по факту – базы двухлетней давности, и сканер ничего не находил. Копался часа два, пока не обнаружил, что какой-то умник перенаправил все запросы к серверам Avast на 127.0.0.1 через `hosts`. Плюс в реестре был ключик, который заставлял службу антивируса «думать», что она работает, хотя на деле она просто висела в памяти в «коматозном» состоянии. В моем опыте, эта модель Avast Free Antivirus (версия 20.x, до того как они сильно изменили движок) имела особенность: если ее служба `AvastSvc.exe` зависала, она могла выглядеть как работающая в диспетчере задач, но по факту не выполняла никаких функций. Именно это и эксплуатировал тот вирус, держа службу в «коматозном» состоянии.

Пришлось загружаться в безопасном режиме с поддержкой сети, вручную править `hosts` файл, запускать портативный сканер (Dr.Web CureIt! справился на ура), а уже потом, после удаления основной заразы, чистить реестр и переустанавливать антивирус.

Кейс 2: Тихий убийца в корпоративной сети

Однажды на корпоративной сети столкнулся с криптовымогателем. Антивирусы на серверах молчали, на рабочих станциях тоже вроде все было чисто, пока не начали шифроваться файлы. Оказалось, вирус использовал `WMI` (Windows Management Instrumentation) и `PowerShell`, чтобы тихонько добавить себя в исключения Защитника Windows (на машинах с Windows 10), а потом через системные вызовы `API` глушил сетевой мониторинг у других антивирусов, вроде ESET Endpoint Security. Это было адски сложно отловить, потому что он не трогал исполняемые файлы антивируса, а обходил их логику. Пришлось лезть в логи `PowerShell` и `WMI` – а их, как известно, не все смотрят. Особенно хитро вирус работал с ESET Endpoint Security версии 7.x: он не пытался выгрузить его драйвер `ehdrv.sys`, а через `API-хуки` перехватывал запросы к файловой системе, подменяя ответы для ESET, чтобы тот «не видел» шифрования. В итоге, пришлось писать скрипты для очистки `WMI` репозитория и настраивать групповые политики, чтобы запретить выполнение `PowerShell` скриптов для пользователей.

Лайфхаки и предостережения: мой арсенал выживания

Вот несколько советов, которые я выстрадал на своем опыте, и которые вы вряд ли найдете в общих статьях:

• Портативные сканеры – ваш лучший друг: Всегда держите на флешке Dr.Web CureIt! или Kaspersky Virus Removal Tool. Они автономны, не требуют установки и часто пробивают ту защиту, которую вирус поставил против стационарного антивируса. Они запускаются «поверх» всего и часто видят то, что скрыто от установленного AV.
• LiveCD/USB – золотое правило: Если совсем беда, и система не грузится или антивирус не работает, загружайтесь с LiveCD/USB. Например, с Kaspersky Rescue Disk или Dr.Web LiveDisk. Это вообще золотое правило: лечить зараженную систему нужно извне, когда вирус не активен. Это позволяет обойти большинство блокировок.
• Безопасный режим с поддержкой сети: Часто вирус не активирует свои блокирующие функции в безопасном режиме. Загрузились, убили процессы, удалили файлы, почистили реестр. Но не забывайте, что некоторые особо хитрые экземпляры могут работать и там.
• Реестр из внешней ОС: Если вирус засел в реестре и не дает ничего сделать, можно подключить диск к другой машине и через `regedit` (через меню «Файл» -> «Загрузить куст») загрузить куст зараженной системы и почистить. Это для продвинутых, конечно, но спасало не раз, когда надо было убрать автозапуск или отключить службы, которые вирус создал.
• Проверка файла `hosts`: Первое, что я проверяю, когда антивирус «странно» себя ведет – `C:WindowsSystem32driversetchosts`. Это как азбука, но многие забывают. Откройте его блокнотом и убедитесь, что там нет подозрительных строк, перенаправляющих трафик.
• Мониторинг процессов и служб: Учитесь пользоваться `Process Explorer` от Sysinternals. Смотрите на родительские процессы, на `DLL`, которые загружены. Если `notepad.exe` запускает какой-то `svchost.exe` с подозрительными параметрами – это красный флаг. Изучайте, какие процессы должны быть в вашей системе, а какие – нет.
• UEFI/BIOS-уровень: Не забывайте, что некоторые особо хитрые твари могут сидеть в UEFI/BIOS. Там уже только перепрошивка или специализированные утилиты от производителя. Это редкие, но самые страшные случаи.
• «Золотой образ» системы: Для рабочих станций, особенно в конторах: создайте чистый «золотой образ» системы со всеми программами и настроенным антивирусом. Заразилось – развернули образ за 15 минут. Это быстрее, чем танцы с бубном и попытки выковыривать заразу.
• Осторожность с «бесплатным» софтом: Помните: бесплатный сыр бывает только в мышеловке. Если вам предлагают «Photoshop CS6 бесплатно и без СМС» – 99% там уже сидит какой-нибудь майнер, блокировщик или что-то похуже.
• Разделение прав: Работайте под учетной записью с ограниченными правами, а не под администратором. Это, казалось бы, банально, но спасает от многих бед, не давая вирусу получить полные права на систему.
• Регулярные бэкапы: Я не устану повторять: бэкапы, бэкапы и ещё раз бэкапы. Желательно на внешний носитель, который отключается после копирования. Это ваша последняя линия обороны от шифровальщиков, даже если они смогли заблокировать ваш антивирус.

Отказ от ответственности

Информация, представленная в этой статье, основана на личном опыте автора и носит ознакомительный характер. Компьютерные вирусы и методы борьбы с ними постоянно развиваются, и нет универсального решения для всех угроз. При возникновении серьезных проблем с заражением системы настоятельно рекомендуется обратиться к квалифицированным специалистам. Автор не несет ответственности за любые прямые или косвенные убытки, возникшие в результате использования или неправильного толкования предоставленной информации.