Давно уже не секрет, что антивирусные вендоры используют в своих продуктах rootkit- и bootkit-подобные технологии. Одним из первых на это обратил внимание в 2005 г. Марк Руссинович - американский программист и писатель, специалист по внутреннему устройству операционной системы Microsoft Windows .

В этом нет ничего удивительного и предосудительного: для эффективной защиты - нацеленной в числе прочего на упреждение вредоносного программного обеспечения (превентивные методы защиты) - антивирусы должны грузиться не после загрузки операционной системы, а вместе с нею (в идеале - даже до загрузки ядра ОС), чтобы иметь возможность проверки основной загрузочной записи (Master Boot Record, MBR) и проверять - по мере загрузки - доброкачественность загружаемых драйверов/служб/программ/ файлов. Когда система загружена, антивирус - в числе прочего - должен иметь доступ как ко всем файлам (включая защищенные системные файлы), так и ко всем системным функциям. Если эти условия не выполняются, эффективность современного антивируса близка к нулю.

Удивляет другое. Понятно, когда интернет-СМИ раздувают вышеупомянутый факт, выставляя производителей антивирусов в невыгодном свете, - едва ли не сравнивая их с вирусописателями! - но на то они и СМИ, чтобы раздувать из мухи слона и выуживать жареные факты!

Но когда представители антивирусных компаний, надувшись и обидевшись, заявляют, что их упреждающие технологии не имеют ничего общего с технологией руткитов и буткитов, - это, по меньшей мере, не соответствует действительности.

Настоящая проблема этого явления, на мой взгляд, лежит совсем в другой плоскости: некоторые модули современных антивирусов остаются в системе даже после корректной унинсталляции программы. Как правило, они грузятся вместе с ядром операционной системы, а удалить их нельзя ни с помощью файловых менеджеров, ни с помощью других антивирусов, то есть фактически эти модули обладаюттеми же свойствами, что и вышеупомянутые руткиты и буткиты.

Приведу два примера из своей практики

После запуска сетевого антивируса Dr.Web CureNet! антивирус Panda обнаруживает укоренившийся в системе модуль самозащиты Dr.Web (DrWeb Protection for Windows; 100КБ; \WINDOWS\system32\drivers\dwprot. sys) - «подозрительный» файл, действующий на уровне ядра ОС, но не может его ни просканировать, ни удалить, о чем делается соответствующая запись в системном журнале событий.

Другой пример. После использования антивирусной утилиты AVZ в папке \Windows\System32\drivers\ «навечно» остаются следующие файлы:

•    7367320.sys (304КБ; Klif Mini-Filter [fre_wlh_x86]);

•    73673201 .sys (125КБ; Kaspersky Unified Driver);

•    73673202.sys (36,5КБ; Kaspersky Lab Boot Guard Driver).

С пристрастием «поковырявшись» в системе после удаления любого brand-пате-антивируса, можно обнаружить подобные файлы.

Не зря же почти каждый антивирусный вендор выпускает специальную утилиту для чистки операционной системы после удаления своего антивируса, но даже после использования этих фирменных утилит некоторые файлы удаленных антивирусов (а также записи в Реестре) остаются.

Примечания

1.    Руткит (англ. rootkit; от root - корень, основа; корневой, основной; корневой каталог + kit - сокращение от tool kit - набор инструментальных средств, инструментарий) - программа, выполняемая в виде драйвера ядра операционной системы (kernel mode driver). Руткит использует всевозможные технологии маскировки и сокрытия различных системных объектов (драйверов, процессов, сервисов, параметров Реестра, файлов, открытых портов и т.д.), активно используемых вредоносным программным обеспечением.

2.    Буткит (англ. bootkit; от boot - загрузка, начальная загрузка системы + kit) - загрузочный руткит, заражающий загрузочный сектор диска ПК. Буткит загружается до запуска операционной системы (и антивируса), это позволяет ему контролировать системные функции и скрывать свое присутствие в системе.

В последнее время руткиты и буткиты все шире применяются злоумышленниками для сокрытия присутствия на зараженных ПК вредоносного и шпионского программного обеспечения.