Как понять, что ваш антивирусный движок заражён и подменён

Автор На чтение 9 мин Просмотров 1 Опубликовано
Содержание
  1. Как понять, что ваш антивирусный движок заражён и подменён
  2. Почему антивирусный движок подменяют
  3. Как проверить, что движок не подменён — пошагово
  4. Что смотреть в таблице: настоящий vs подменённый антивирус
  5. Частые ошибки — и почему они дорогие
  6. Что делать, если вы уже подозреваете подмену
  7. Что выбрать — в зависимости от ситуации
  8. Как лучше сделать — практические рекомендации
  9. Итог: что делать прямо сейчас

Как понять, что ваш антивирусный движок заражён и подменён

Вы установили антивирус — думаете, что защищены. Но что, если сам антивирус — шпион? Что, если он не сканирует вирусы, а их запускает? Это не теория. Я видел, как компании теряли миллионы, потому что их «защищённые» системы были под контролем злоумышленников — и всё потому, что антивирусный движок был подменён. Не просто обман: он работал. Показывал «всё чисто». А внутри — тишина, пока не начали исчезать данные.

Если вы — владелец бизнеса, ИТ-специалист, или просто человек, которому не безразлична безопасность своих данных, вам нужно знать: антивирус может быть врагом в маске. И вы этого не заметите, если не проверите его правильно.

Почему антивирусный движок подменяют

Злоумышленники не ломают системы — они заходят через дверь, которую вы сами открыли. Антивирус — это программа с правами администратора. Он может читать все файлы, отключать другие защитные слои, перехватывать трафик. Если его подменить — вы получаете не защиту, а обратную дверь.

Такие атаки происходят не через уязвимости в ОС. Они происходят через:

  • Поддельные обновления (через «официальный» сервер, скомпрометированный через цепочку поставок)
  • Установку «бесплатного» антивируса с подозрительного сайта
  • Фишинг с подменой логина в панели управления антивируса
  • Внутренние угрозы — сотрудник, который установил «чтобы быстрее работало»

И когда антивирус подменён — он не показывает ошибок. Он не выдаёт предупреждений. Он просто молчит. А за его спиной работает шпионская программа, которая копирует пароли, отправляет документы на серверы в России, Китае или на Тайване — и делает это так, что даже логи безопасности выглядят чистыми.

Как проверить, что движок не подменён — пошагово

Нет одного «волшебного» инструмента. Но есть набор проверок, которые работают в реальности. Делайте их в порядке:

  1. Проверьте цифровую подпись файла движка
    Найдите основной файл антивируса — обычно это avp.exe, msmpeng.exe, avastsvc.exe или аналог. Кликните по нему правой кнопкой → «Свойства» → вкладка «Цифровые подписи». Если подписи нет — немедленно отключайте программу. Если подпись есть — проверьте, кому она принадлежит. У «Касперского» — это «Kaspersky Lab», у «Доктор Веб» — «Doctor Web». Если там «Unknown Publisher» или «Microsoft Corporation» — это красный флаг. Настоящие антивирусы не подписываются от имени Microsoft.
  2. Сравните хеш файла с официальным
    Зайдите на сайт производителя. Найдите страницу с загрузкой антивируса. Там, где кнопка «Скачать», почти всегда есть ссылка на SHA-256 хеш. Скачайте файл и проверьте его хеш через PowerShell: Get-FileHash -Algorithm SHA256 "C:\path\to\your\avp.exe". Сравните с официальным. Даже один байт — и это подмена.
  3. Проверьте сетевую активность
    Запустите Wireshark или NetLimiter. Включите мониторинг трафика. Если ваш антивирус — настоящий — он общается только с серверами производителя: update.kaspersky.com, avast.com, drweb.com. Если вы видите соединения с 185.143.221.12, 192.168.100.50 или доменами вроде update-windows-security[.]xyz — это не обновления. Это передача данных. Закройте программу. Забудьте о ней.
  4. Проверьте модули в памяти
    Откройте «Диспетчер задач» → вкладка «Подробности». Найдите процесс антивируса. Кликните правой кнопкой → «Открыть расположение файла». Если путь ведёт в C:\Program Files\ — хорошо. Если в C:\Users\Public\ или C:\Windows\Temp\ — это не антивирус. Это вредонос. Проверьте также, сколько потоков он запускает. Настоящий антивирус — 5–15 процессов. Подменённый — может запускать 50+ скрытых потоков. Слишком много — тревога.
  5. Запустите проверку с другого антивируса
    Скачайте Malwarebytes или HitmanPro — не устанавливайте, а запустите как portable-версию. Запустите сканирование. Если он находит «Trojan:Win32/Agent» или «PUA:Win32/AdWare» внутри файла вашего антивируса — вы подменены. Не игнорируйте. Даже если ваш антивирус говорит «всё чисто» — он лжёт.

Что смотреть в таблице: настоящий vs подменённый антивирус

Признак Настоящий антивирус Подменённый антивирус
Цифровая подпись От имени производителя (Kaspersky, Bitdefender и т.п.) «Unknown», «Microsoft», или подпись с истёкшим сроком
Путь установки C:\Program Files\ или C:\Program Files (x86)\ C:\Users\Public\, C:\Windows\Temp\, C:\Users\%USERNAME%\AppData\Roaming\
Сетевые соединения Только к доменам производителя (например, update.kaspersky.com) Соединения с IP в Китае, России, Украине, неизвестными доменами
Обновления Автоматические, но только с официальных серверов Обновления через сторонние URL, с опозданием в 2–3 дня, или вовсе без обновлений
Поведение при сканировании Сканирует все файлы, показывает детали угроз Сканирует только «на вид» — пропускает .exe, .dll, .js, .vbs
Работа с другими антивирусами Не мешает другим (если совместим) Отключает Windows Defender, блокирует запуск Malwarebytes

Частые ошибки — и почему они дорогие

Люди ошибаются не из-за глупости. Они ошибаются, потому что доверяют. Вот что чаще всего ломает:

  • «Он же показывает «всё чисто» — значит, всё в порядке»
    Подменённый антивирус специально показывает «всё чисто». Это его функция. Он не сбоит — он работает. Как шпион.
  • «Я купил его на сайте, там же логотип»
    Сайт может быть поддельным. Даже если он выглядит как настоящий. Злоумышленники копируют дизайн, используют HTTPS, покупают домены вроде kaspersky-official[.]ru. Проверяйте URL в адресной строке. Домен должен быть kaspersky.com, а не kaspersky-security[.]net.
  • «У меня лицензия — значит, всё легально»
    Лицензия — это не гарантия честности. Вы можете купить лицензию на поддельный продукт. Продавец вроде бы выдал ключ, а на самом деле — ключ для шпионской программы. Покупайте только на официальном сайте. Через маркетплейсы — риск.
  • «Я обновляю антивирус — значит, он не заражён»
    Подменённый движок может «обновляться» — но только чтобы усилить вредонос. Он может загружать новые модули, которые убирают следы старого вредоноса и добавляют новые. Обновление ≠ безопасность.
  • «У меня Windows Defender — он же встроен»
    Windows Defender — это хороший базовый уровень. Но он не защищает от подмены стороннего антивируса. Если вы установили «Avast» или «Dr.Web» — он может отключить Defender. А потом — сам стать вредоносом. Проверяйте, включён ли Defender: Windows Security → Virus & threat protection → Real-time protection. Если выключен — ищите причину.

Что делать, если вы уже подозреваете подмену

Если вы заметили хотя бы один из признаков выше — не пытайтесь «перезагрузить» или «переустановить» антивирус. Он уже заражён. Делайте так:

  1. Отключите компьютер от сети
    Отсоедините кабель Ethernet, выключите Wi-Fi. Не просто «закройте браузер» — отключите сеть полностью. Это остановит передачу данных.
  2. Загрузитесь с флешки
    Скачайте на другом чистом компьютере Malwarebytes Bootable Anti-Malware и создайте загрузочную флешку. Загрузитесь с неё. Это обойдёт заражённую ОС. Просканируйте жёсткий диск. Если он находит угрозы в папках антивируса — вы подтверждаете подмену.
  3. Удалите антивирус с помощью специализированного средства
    Например, Kaspersky Removal Tool или AVG Remover. Эти инструменты удаляют даже скрытые файлы и реестр, которые обычное удаление не трогает.
  4. Сбросьте систему
    После удаления — сбросьте Windows до заводских настроек: Панель управления → Восстановление → Сбросить этот компьютер. Выберите «Удалить всё». Это стирает всё — включая скрытые вредоносы, которые могли проникнуть глубже.
  5. Установите антивирус заново — с нуля
    Скачайте его с официального сайта на чистом устройстве. Перенесите установщик на флешку. Установите на заражённый ПК. Только после этого — подключайте к сети.

Что выбрать — в зависимости от ситуации

Не все ситуации одинаковы. Вот как действовать:

  • Если вы — частный пользователь и не технарь
    Установите только Windows Defender + Malwarebytes (бесплатная версия). Не устанавливайте «бесплатные» антивирусы вроде «AVG», «Avast», «Bitdefender Free» — они могут быть подменены. Defender работает в фоне, не требует настроек, и его сложно подменить без прав администратора. Проверяйте его раз в месяц: откройте «Безопасность Windows» → «Проверка на вирусы» → «Полная проверка».
  • Если вы — владелец малого бизнеса с 5–10 компьютерами
    Используйте Kaspersky Small Office Security или Bitdefender GravityZone Business Security. Оба имеют централизованное управление. Настройте мониторинг хешей файлов через их панель. Включите «Обнаружение подмены» — если файл движка изменился — приходит уведомление. Проверяйте хеши раз в неделю.
  • Если вы — ИТ-специалист в компании с 50+ ПК
    Используйте Microsoft Defender for Endpoint + EDR-система (например, CrowdStrike или SentinelOne). Они не просто антивирусы — они отслеживают поведение процессов. Если антивирусный движок начинает читать файлы паролей или отправлять данные на неизвестный IP — система сразу предупредит. Интегрируйте с SIEM. Делайте автоматическую проверку хешей через PowerShell-скрипты, запускаемые раз в 4 часа.
  • Если вы — пользователь, который не доверяет ни одному антивирусу
    Отключите все сторонние антивирусы. Оставьте только Windows Defender. Установите Firewall (встроенную или GlassWire). Включите Controlled Folder Access в Windows Security — он блокирует любые программы, которые пытаются изменять документы. Это не 100% защита, но если вы не работаете с критичными данными — это самый безопасный вариант.

Как лучше сделать — практические рекомендации

Вот то, что реально работает:

  • Никогда не скачивайте антивирус с «бесплатных» сайтов, торрентов, форумов. Даже если там «официальный» логотип.
  • Проверяйте хеш файла антивируса хотя бы раз в месяц — даже если вы «установили его вчера».
  • Не позволяйте антивирусу отключать Windows Defender. Если он это делает — это тревожный сигнал.
  • Делайте резервные копии на внешний диск, который отключается после копирования. Если антивирус подменён — он может шифровать и ваши бэкапы.
  • На рабочих компьютерах — не устанавливайте ничего без согласования с ИТ-отделом. Даже «чтобы быстрее работало».
  • Проверяйте, какие программы запускаются при старте ОС. Через msconfig или Task Manager → Startup. Подозрительные — отключайте. Антивирус не должен запускать 10+ служб.

Итог: что делать прямо сейчас

Вы не должны ждать, пока что-то сломается. Если вы не уверены в своём антивирусе — вы уже в опасности.

Сделайте это прямо сейчас:

  1. Откройте папку с антивирусом (например, C:\Program Files\Kaspersky Lab\).
  2. Кликните правой кнопкой по файлу движка → «Свойства» → «Цифровые подписи».
  3. Проверьте, кто подписал файл. Если не производитель — немедленно отключите его.
  4. Зайдите на официальный сайт производителя. Найдите хеш для вашей версии. Сравните его с хешем вашего файла через PowerShell.
  5. Если хоть один пункт не совпадает — отключите компьютер от сети. Загрузитесь с флешки. Удалите антивирус. Сбросьте систему.

Антивирус — это не «установил и забыл». Это — живой компонент безопасности. Его нужно проверять, как замок на двери. Если вы не знаете, кто сделал ключ — вы не знаете, кто может войти.

Информация в этой статье носит ознакомительный характер. Решение о выборе и настройке средств защиты следует принимать совместно с квалифицированным специалистом в области информационной безопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком