О вирусах и не очень
Фев 28
Периодически у каждого пользователя компьютера возникает необходимость решить ту или иную задачу, а подходящей программы не оказывается под рукой. Тогда мы лезем в интернет, находим то, что нам нужно, скачиваем и запускаем. За последние три дня я столкнулся с тремя такими задачами у разных пользователей: массовая рассылка СМС-сообщений, массовая рассылка электронных писем и восстановление забытого пароля. Стоит сказать, что массовая рассылка не предполагает рассылки спама, а служит для быстрого оповещения сотрудников компании о каком-то событии. В связи с популярностью подобного рода задач существует много программ, предлагающих их решение. Проблема в том, что все эти программы находятся, так сказать, в зоне повышенного риска из-за своей неоднозначной направленности - запуская у себя на компьютере подобного рода программы вы всегда рискуете подхватить вирус или усадить себе на машину трояна. Мне самому поднадобилось восстановить пароль к одному удалённому соединению, которое нужно было перенести на другой компьютер. Я нашёл в интернете программу, которая может это сделать, но не рискнул сразу запустить её, а решил сначала проверить, насколько я могу быть уверенным в том, что мои пароли не уплывут в чужие руки. Вот об этой проверке я и хочу поговорить.
Вначале немного предыстории. Для доступа к удалённым компьютерам, расботающим под виндами, я использую стандартный клиент mstsc.exe, встроенный в Windows. При подключении к удалённому рабочему столу у вас есть возможность сохранить в системе пароль, чтобы не делать это каждый раз. Знаю, сохранять пароли - это плохая практика, но мы все иногда бываем плохими мальчиками, правда? В общем, пароль я сохранил, а через полгода возникла необходимость перенести настройки этого соединения на другой компьютер. Сохранить-то пароль можно, а вот посмотреть его так просто не получится - он хранится в системе в зашифрованном виде. Чтобы его восстановить, нужно использовать какую-то стороннюю программу, способную расшифровать пароль и выдать вам его на экран.
Простой поиск в Гугле первой же ссылкой выдаёт то, что нам нужно. Смотрим на сайт - он вполне вызывает доверие: существует давно, предлагает справку, поддержку, множество других полезных утилит. Судя по количеству переводов, созданных третьими лицами, понимаешь, что программы на сайте пользуются популярностью у людей, плотно работающих с компьютерами. И тем не менее, рисковать не хочется. Перед тем, как запустить у себя Remote Desktop PassView, надо бы более тщательно его проверить.
Пытаюсь скачать, и тут же Chrome предупреждает меня, что файл может быть опасен. Я помню, что в этом плане Chrome может ошибаться и игнорирую предупреждение. В конце концов, я же пока что ничего не запускаю, а просто сохраняю у себя архив с программой. Но после сохранения программы ругаться уже начал антивирус. Его предупреждения просто так не проигнорируешь - угроза может быть серьзной. Надо копать.
Я запускаю виртуальную машину, которую не жалко угробить, на неё скачиваю PassView, извлекаю из архива исполняемый файл rdpv.exe и отправляю его на проверку в VirusTotal.com. 29 антивирусов из 45 считают, что файл заражён и его лучше сразу удалить. Но я продолжаю сомневаться и внимательно читаю отчёт. Касперский определил заражение как not-a-virus:PSWTool.Win32.IEPassView.cg. Название странное. Может, это и не вирус вовсе? Теперь уже я озадачиваюсь вопросом, что означает название этой заразы. Опять же, поиском в Гугле нахожу, что программа, несущая на себе подобную метку может быть опасной, но всё-таки не признаётся Касперским, как вирус "за недостаточностью улик".
Короче говоря, есть риск, хотя и не доказанный, утечки ваших паролей. Использовать песочницу в данном случае нет смысла - пароли уплывут по сети и песочница от этого не защитит. Запускать программу стоит только в том случае, если вы на 100% уверены в том, что она абсолютна чиста и в ней нет никаких троянов. Если есть хоть малейшее подозрение - лучше забудьте о ней и пройдите мимо. Раскрывать свои пароли может быть очень опасно. Я не стал рисковать и, покопавшись в памяти, методом проб всё-таки вспомнил нужный мне пароль, а программу PassView с чистой совестью удалил.
И всё-таки, урок был: не всё то зараза, на что ругается ваш антивирус. Касперский поступает честно: если он не уверен, что программа опасна, он не станет на неё сильно ругаться. Многие другие антивирусы в подобном случае начинают истошно вопить, лишь бы показать, какие они верные псы на защите вашей безопасности. Может, они и правы. Я ж, в конце концов, не стал запускать у себя подозрительный файл.