Как понять, что антивирусный движок заражён и подменён

Вы установили антивирус, он работает, обновляется, показывает, что всё чисто. Но что, если внутри него уже живёт чужой код? Что, если тот самый модуль, который должен ловить угрозы, сам стал частью атаки? Это не теоретический сценарий — такие случаи были у крупных вендоров, и обнаруживали их не сразу. Разберёмся, как заподозрить неладное и что делать.

Почему вообще кто-то подменяет антивирусный движок

Антивирусный движок — это сердце продукта. Он отвечает за сигнатурный анализ, эвристику, песочницу, поведенческий мониторинг. Если злоумышленник получает контроль над движком, он получает возможность:

• выборочно отключать детекцию своих файлов и процессов;
• перехватывать данные, которые антивирус отправляет в облако на проверку;
• получать привилегии уровня ядра операционной системы;
• маскировать другие вредоносные компоненты под «доверенный» процесс.

Атаки такого уровня — не массовые. Обычно это целевые операции: против корпораций, госструктур, журналистов, активистов. Но если вы работаете с чувствительными данными или просто хотите быть уверенным в защите, стоит знать признаки.

Первые тревожные сигналы

Заражённый или подменённый движок не всегда ведёт себя агрессивно. Часто он старается остаться незамеченным. Но есть косвенные признаки, которые наводят на мысль.

Антивирус ведёт себя странно

• Потребление RAM и CPU антивирусом резко выросло без видимых причин — ни сканирования, ни обновлений не запускалось.
• Антивирус «падает» с ошибками вроде «Модуль не отвечает» или «Сервис остановлен», а после рестарта работает как ни в чём не бывало.
• Обновления баз приходят с необычно большими или подозрительно маленькими файлами, либо обновление «зависает» на одном проценте.
• В интерфейсе появляются элементы, которых раньше не было, или исчезают привычные кнопки и разделы.

Система ведёт себя не так, как должна

• Антивирус перестаёт реагировать на заведомо вредоносные файлы — например, на тестовый файл EICAR, который распознаёт любой нормальный продукт.
• Появляются сетевые соединения от процессов антивируса к неизвестным IP-адресам, особенно в странах, с которыми у вас нет логики общения.
• Защитник Windows (или аналог) сообщает, что антивирус «отключён» или «устарел», хотя вы его не трогали.

Практическая проверка: пошагово

Если что-то из вышеперечисленного вы заметили, не спешите паниковать — но и игнорировать не стоит. Вот что можно сделать самостоятельно.

1. Проверьте тестовым файлом EICAR. Скачайте стандартный тестовый файл с eicar.org или создайте его вручную (строка из 68 символов, сохранённая в файл с расширением .com). Нормальный антивирус должен немедленно его заблокировать. Если файл спокойно скачался и лежит на диске — это красный флаг.
2. Сравните контрольные суммы. Если производитель публихеш-суммы дистрибутивов или ключевых модулей — проверьте их через PowerShell (Get-FileHash) или утилиту certutil. Несовпадение — повод для серьёзных опасений.
3. Посмотрите цифровые подписи. Правый клик по исполняемому файлу антивируса → Свойства → Цифровые подписи. Подпись должна быть валидной, от правильного издателя, без предупреждений. Если подпись отсутствует, просрочена или от неизвестной компании — разбирайтесь.
4. Проверьте сетевую активность. Откройте монитор ресурсов (resmon) или используйте TCPView от Sysinternals. Найдите процессы антивируса и посмотрите, куда они подключаются. Неизвестные IP, особенно на нестандартных портах — подозрительно.
5. Запустите сканирование сторонним инструментом. Используйте любой независимый сканер — Dr.Web CureIt, Kaspersky Virus Removal Tool, ESET Online Scanner. Если они находят угрозы там, где ваш основной антивирус молчит — вывод очевиден.

Сравнение признаков: сбой vs подмена

Не каждый странный симптом означает подмену. Вот как отличить технический сбой от потенциальной компрометации:

Что делать, если подозрения подтвердились

Если хотя бы два-три признака совпали с правой колонкой таблицы, действуйте решительно.

1. Отключите интернет. Физически — вытащите кабель или выключите Wi-Fi. Это остановит возможную утечку данных и предотвратит удаление следов злоумышленником.
2. Сделайте дамп подозрительных процессов. Через Process Explorer или Task Manager сохраните дамп памяти процесса антивируса. Это пригодится для анализа.
3. Запишите логи. Экспортируйте журналы событий Windows (eventvwr.msc → Журналы приложений и служб) и логи самого антивируса, если они доступны.
4. Удалите антивирус полностью. Лучше через официальную утилиту удаления от производителя (uninstall tool), а не через стандартный деинсталлятор Windows.
5. Установите заново с проверкой. Скачайте дистрибутив только с официального сайта, проверьте хеш-суммы, установите с нуля.
6. Смените пароли. Особенно для критичных сервисов — почта, банк, рабочие системы. Делайте это с чистого устройства или после переустановки ОС, если ситуация серьёзная.

Сценарии выбора действий

Если вы обычный домашний пользователь и заметили, что антивирус перестал ловить EICAR или ведёт себя странно — скорее всего, это сбой после обновления. Переустановите продукт, проверьте сторонним сканером. Если всё чисто — живите спокойно.

Если вы работаете с конфиденциальными данными (юрист, журналист, бухгалтер, IT-специалист) и видите комбинацию признаков — отключение детекции + странная сетевая активность + проблемы с подписями — не ограничивайтесь переустановкой. Сохраните логи, обратитесь к специалисту по ИБ, рассмотрите полную переустановку ОС.

Если вы отвечаете за безопасность в компании — подключайте процедуры инцидент-респонса: изолируйте хост, соберите артефакты, проанализируйте в песочнице, уведомите вендора. Возможно, вы столкнулись с целевой атакой, и это повод проверить всю инфраструктуру.

Частые ошибки при подозрении на подмену

• Списываю всё на «глюки» и игнорирую. Лучше перепроверить лишний раз, чем потом выяснять, что данные утекали месяцами.
• Удаляю антивирус и остаюсь без защиты. Если вы удалили заражённый продукт, сначала установите альтернативу, потом уже занимайтесь диагностикой.
• Чищу систему тем же антивирусом, который подозреваю. Это бессмысленно — он может «не видеть» собственную компрометацию. Используйте независимые инструменты.
• Не проверяю цифровые подписи. Многие даже не знают, что у файлов есть подписи. А это один из самых надёжных способов убедиться, что перед вами оригинальный код.
• Паникую и переустанавливаю ОС без сбора данных. Если ситуация серьёзная, сначала зафиксируйте улики — логи, дампы, скриншоты. Потом уже лечите.

Как снизить риск подмены заранее

Лучшее лечение — профилактика. Вот что реально работает:

• Используйте антивирусы с защитой собственных процессов от остановки и модификации (большинство современных продуктов это умеют, но проверяйте, включена ли функция).
• Регулярно проверяйте цифровые подписи ключевых модулей — хотя бы раз в пару месяцев.
• Не работайте из-под учётной записи администратора для повседневных задач. Это ограничивает возможности подмены системных компонентов.
• Включите мониторинг целостности файлов (FIM), если ваш антивирус это поддерживает — он оповестит об изменениях критических файлов.
• Держите операционную систему и стороннее ПО обновлёнными — многие атаки на антивирусы используют уязвимости в смежных компонентах.

Итог

Подмена антивирусного движка — это не массовая угроза, но если вы стали её целью, последствия серьёзные. Главные признаки, которые не стоит игнорировать: антивирус перестаёт реагировать на тестовые файлы, у него изменились цифровые подписи, появились странные сетевые соединения, а поведение стало нестабильным без видимых причин.

Если заподозрили неладное — отключайте сеть, проверяйте сторонними инструментами, сохраняйте логи и переустанавливайте продукт с нуля. Для критичных ситуаций — привлекайте специалистов и не ограничивайтесь косметическим лечением.

Самый простой тест, который стоит запомнить: скачайте файл EICAR. Если ваш антивирус его не видит — что-то пошло не так. Это занимает минуту, но может сэкономить месяцы проблем.