вторник, 12 февраля 2008 г.

Борьба с руткитами: побочные эффекты

Обложка журнала ComputerBild №3/2008
Прислушавшись к рекомендациям из последнего номера журнала ComputerBild, я установил себе две программы для борьбы с руткитами (руткиты - это программы, цель которых - незаметно заполучить власть на вашем компьютере и затем запускать без вашего ведома другие зловредные программы). Редакция рекомендовала установить две лучшие программы из теста - GMER 1.0 и AVG Anti-Rootkit 1.1 - я так и сделал. Вернее, устанавливать пришлось только AVG Anti-Rootkit, потому как GMER 1.0 запускается прямо сразу, без установки. И именно поэтому GMER мне довелось испробовать в первую очередь.
И вот теперь хочу поделиться своими впечатлениями.


После нажатия кнопки Scan GMER начал усердно искать все подозрительные объекты на моём компьютере. Я не очень сильно удивился, когда увидел в разрастающемся списке буквосочетание "CFP" (под этой аббревиатурой скрывается брандмауэр Comodo Firewall Pro): ясное дело, работа такая у брандмауэров - совать нос во все сетевые дела. Но когда в списке довольно часто замелькало слово device, а затем вдруг перестала двигаться мышь, - я понял, что GMER 1.0 страдает паранойей. Ну какой нафиг руткит представляет из себя драйвер моей мыши? Но не успел я этого подумать, как что-то интересное случилось с моим монитором - он перешёл в режим 256 цветов, а Windows написала, что у неё отказал драйвер экрана (см. картинку). Пришлось перезагружать комп. Мне всё равно пришлось бы это делать, чтобы завершить установку AVG Anti-Rootkit, а теперь и другой повод появился!
После перезагрузки выяснилось, что GMER "исправил жизнь к лучшему" не только у монитора - Comodo Firewall Pro (тот самый "CFP") сообщил, что не может запустить свои "защитные чары", и что решить проблему может только переустановка приложения. Ну что ж, пришлось скачивать и устанавливать его снова, попутно изрыгая трёхэтажный мат в адрес GMER 1.0.

Тем временем я попросил просканировать мою систему "продукт №2" из теста в журнале - Anti-Rootkit от компании AVG. Он долго сканировал мою систему и наконец сообщил, что у меня нет ни одного руткита. Какая огромная радость!
А теперь ещё раз посмотрим "турнирную таблицу" анти-руткитов в ComputerBild. В ней сказано, что GMER по итогам теста удалил все 100% руткитов на заражённых тестовых компьютерах. (Ага, я бы даже сказал, что все 200% - если учесть мой монитор, мою мышку и мой брандмауэр.) А занявший второе место AVG Anti-Rootkit тоже распознал все 100%, но проиграл за счёт более тонких технических деталей. В частности, он не искал руткиты, спрятанные в дополнительных файловых потоках. То есть я не могу верить ему полностью - возможно, какой-нибудь особо хитрый вредитель у меня остался. Но по мне, так лучше жить с руткитом в системе, чем без мышки. А вы как считаете?

2 комментария:

Анонимный комментирует...

GMER всё отлично ищет, если он нашёл руткит у тебя в драйвере, уж точно вылетит устройство.

AVG конечно же ничего не нашёл, так как GMER уже всё почистил.

Maaaks комментирует...

Ты уж извини, мой анонимный друг, но фраза «вылечит устройство» немного заставляет меня сомневаться в адекватности всего остального коммента. И почему надо было отправлять меня в недееспособный графический режим, не спросив? Может, стоило сначала найти, а уж потом предупредить о возможных последствиях и начать лечение?