Алексей бабушкин антивирус иммунитет
Автор:sporaw
Лавры компьютерного гения Дениса Попова, похоже, не дают покоя многим школьникам России.
Итак, встречаем нового гения-инноватора — Алексея Бабушкина, разработчика передового антивирусного пакета класса «лайт», с новейшими технологиями инжекта bat-файлов в ядро ОС, борящегося в том числе с невероятной по силе угрозой, называемой, «кролики», а так же с «защитой, зацикленной на нуле», ну и как же не без этого — с продажами на 850К Российских рублей (восемьсот пятьдесят тысяч рублей, это почти $30K), и незабываемым секретным кодом «е***и гусей» в ядре этого антивируса (запатентован), противодействующим сразу практически всем угрозам под все платформы, как Windows, так и UNIX-based. В качестве агрессивного сейлз-менеджера, маркетолога и PR-щика в одном лице, выступает отец школьника, владеющий административным ресурсом по медицинским учреждениям. (Мы не будем говорить здесь о том, что столь чудесные продажи произошли именно по этим, а не по каким-то другим причинам, например — по причинам качества продукта и его передовых технологий).
Высшее руководство Лаборатории Касперского и корпорации Symantec рвут волосы и не знают что делать, как им приобрести этого молодого таланта со всем набором его запатентованных технологий. Ведь он — может перевернуть рынок антивирусных технологий. Продажи идут в гору.
Впрочем, по порядку.
Один мой товарищ обнаружил вот это интервью, с него все и началось.
Я процитирую это целиком, это важно:
Алексей Бабушкин учится на третьем курсе технического университета. Над антивирусом “Иммунитет” он начал работать еще будучи школьником. Программа оказалась удачной. Сейчас Алексей продал более одной тысячи лицензий. В основном ее устанавливают на персональных компьютерах, но уже приобрели несколько школ и компаний краевого центра.
— Мы давно заинтересовались этим проектом, — рассказывает заведующий отделением довузовской подготовки АлтГТУ Виктор Мусько. — Он выходил за рамки школьной программы. Конкурировать с известными антивирусными продуктами обычному студенту сложно. Но “Иммунитет” должен занять свою нишу в регионе. Он эффективен при блокировке вирусов, имеющих небольшой объем. В этом случае нужна компактная программа. “Иммунитет” скромно, но очень качественно выполняет свои функции.
Преимущество “Иммунитета” заключается в том, что он занимает небольшой объем памяти – всего 5-7 мегабайт. Благодаря этому компьютеры не тормозят. Годовое обслуживание антивируса стоит около 450 рублей. Название программы Алексею помог придумать его отец — проректор по учебной работе медицинского университета.
“Отец установил антивирус на рабочем компьютере, – вспоминает Алексей Бабушкин. — Работа программы ему понравилась. Он и предложил название — “Иммунитет”. Потому что антивирус лечит компьютер от болезней”.
Кстати, идея создания антивируса появилась у Алексея благодаря учителю по информатике (Ох уж эти учителя информатики — помните учителя информатики Дениса Попова? Не они ли всему виной? — прим. sporaw), который часто говорил, что ученики приносят зараженные вирусами флешки и от этого школьные компьютеры глючат. Потом идея переросла в готовый продукт. Со временем друзья стали просить Алексея установить программу на их компьютеры. Когда он понял, что антивирус действительно хорошо работает, стал продавать его.
Системный администратор Александр Беллер говорит, что у “Иммунитета” есть некоторые преимущества.
— Когда я работал системным администратором в барнаульской гимназии № 69, мы установили “Иммунитет” на десятки компьютеров,
в том числе и на те, не новые, которым мощные антивирусники не по зубам. И «Иммунитет» нормально работает.
Не трудно посчитать, что «сейчас Алексей продал более одной тысячи лицензий» и «годовое обслуживание антивируса стоит около 450 рублей» превращается в первые 450К.
Это видео надо посмотреть целиком:
Некоторые цитаты: … Его продукт превосходит продукцию ЛК; тестировал и участвовал в разработке Windows 8 (получал код от Microsoft и исправлял его); сейчас работает над технологий архивации, позволяющей из 2 Gb фильма получить файл размером в 2-3 kb; работает над флэшкой, на которой можно будет разместить все данные интернета; создаст свою компанию скоро… (конкурент — Петрик)
Теперь о вторых 400K (моя зависть к этому молодому гению антивирусных технологий не имеет границ, каков талант — он был бы обязательно приглашен в BHC, но BHC сейчас ушло опять в подполье). Читаем эту статью-новость. Маленькая цитата оттуда:
[…] В 7 лет разобрал на составные части новую машину, чтобы изучить ее изнутри. А в 15 — приступил к разработке антивирусной системы. К окончанию школы запатентовал свое изобретение. По словам ученого, другие похожие программы источник угрозы ищут долго. А отыскав, также долго сверяют его со своей базой, которая может насчитывать миллионы вирусов. […]
Патентовать свои «изобретения» — это обязательный атрибут таких ученых как Петрик.
И вот те самые 400К:
— Сама идея заключается в том, чтобы за эти два года человек смог поднять и развить свою идею, заявив ее в следующей программе более высокого уровня, типа программы «Старт», — говорит АНДРЕЙ МАКСИМЕНКО, ПРЕДСТАВИТЕЛЬ ФОНДА СОДЕЙСТВИЯ РАЗВИТИЮ МАЛЫХ ФОРМ ПРЕДПРИЯТИЙ В НАУЧНО-ТЕХНИЧЕСКОЙ СФЕРЕ В АЛТАЙСКОМ КРАЕ. Идея Алексея Бабушкина дальше пошла. Сейчас его антивирусную программу тестируют в четырех школах краевой столицы. По отзывам, она справляется лучше известных аналогов. И свое название — «Иммунитет» — полностью оправдывает.
Цитата свернула мне мозг: сама идея заключается в том, чтобы поднять и развить саму идею.
Да, внедряем во все школы и снимаем еще немножечко вкусного шекеля по 450 рублей с машины за обслуживание .bat-файлов с запатентованной технологией «е***и гусей».
Фотограмма гения:
Сайт антивируса: immunity.double-a.ru
Проведя хакерский анализ инновационных запатентованных технологий и воспользовавшись методикой «реверс инженеринга» без зацикливания на нуле, в коде антивируса была обнаружена запатентованная технология автора: «Е***и гусей». Вот доказательства (информация с AM):
Это whitepaper, описывающий несколько запатентованных технологий (одна из них — инжектирование .bat-файлов в загрузчик ОС и ядро ОС, конторль системы во всех аспектах):
…… for /f «usebackq delims== skip=8» %%a in
(fsd2) do (echo %%a>>fsd)
for /f «usebackq delims== skip=7» %%a in (fsd)
do (echo %%a>>fsd3)
if exist fsd set /p fsd= if exist fsd3 set /p fsd3= echo %windir%system32drivers%fsd2%>virlist
if exist fsd echo %windir%
system32drivers%fsd%>>virlist
if exist fsd3 echo %windir%
system32drivers%fsd3%>>virlist
for /f «usebackq tokens=1* delims= » %%a in
(local.bin) do (
goto :movd
[…]
Ядро антивируса (информация с AM):
Борьба с новейшей APT-угрозой — «кролики»:
Актуальность. В последнее время стало появляться всё больше различных вредоносных объектов, способных разрушить важные персональные данные и нанести ущерб операционной системе и информации. Данными объектами являются: вирусы, троянские программы, «черви» и «кролики»
О ней так же говорится в этом интервью о хакере-авторе:
Я сам с восьми лет занимаюсь программированием, так вот примерно с восьми и до 14-15 лет писал исключительно вирусы. Первые были просто «кроликами» — размножали сами себя, занимали системные папки»
Там же:
Алексей БАБУШКИН, барнаульский одиннадцатиклассник из лицея N 129, написал собственную программу-антивирус под названием «Иммунитет» и летом уже должен получить патент на свое творение. «Стартовали в науку» школьники в городе Долгопрудном, на базе Московского физико-технического института. Для Алексея это был первый научный форум такого уровня, и результат впечатляет — диплом первой степени.
Вот еще об агрессивном маркетинге и продажах за счет административного ресурса отца и странных учителей информатики (там же):
Уже сегодня антивирус Бабушкина установлен на компьютерах в его лицее, у всех друзей и знакомых на домашних компьютерах и даже в городском комитете по здравоохранению — в общей сложности около двухсот пользователей
(мы не будем гадать каким образом он оказался в городском комитете по здравоохранению, ведь отец этого хакера совсем тут не причем).
Кстати, видимо, это он — проректор по учебной работе — БАБУШКИН ИГОРЬ ЕВГЕНЬЕВИЧ (надеюсь, не однофамилец).
Та новость, которая привела в итоге к посту об этом очень важном событии: https://news.rambler.ru/17652044/. Прошлые новости еще как-то сдерживали.
Тут самая важная цитата:
— Сначала не поверили, что это я написал, — попросили продемонстрировать исходные коды (интересно, технологию «Е***и гусей» он тоже демонстрировал? — прим. sporaw). Когда удостоверились, посоветовали усовершенствовать защиту — сделать ее по типу циклического нуля…
Я все. Кому еще есть что сказать по этой теме — я не знаю. Пойду пока изучать технологию циклического нуля, ибо современные технологии проходят мимо — а это очень плохо для развития.
В общем, в полку цыгантивирусов прибыло.
Моя зависть к этому успешному разработчику автору множества запатентованных технологий просто не имеет границ.
Теперь по делу
Желания всякие и общественное признание — это, конечно, хорошо и очень приятно, самолюбие потешить и т.п., но все-таки не нужно вводить людей в заблуждение и как-то более адекватно относится к тому, что сделал/можешь сделать. Иначе, как уже было выше сказано, получается точная копия Дениса Попова.
Разивать навыки, получать новые знания, экспериментировать, решать проблемы — это отлично. Желать сделать что-то хорошее и лучше других — это супер. Так и надо.
Но когда начинается желание запатентовать .bat-файлы или представить подобные «локальные» утилиты, как нечто инновационно-прорывное, какое-то «научное открытие» (см. pdf + конкурсы), а тем более на базе этого брать с людей и организаций деньги, + устанавливать это «ПО» на места с важными данными (в т.ч. в ключе их сохранности), или когда от внимания СМИ сносит крышу и появляются рассказы об алгоритмах сжатия из 2GB в 2KB, а так же о создании флэшки для сохранения данных всего интернета — это похоже на мошенничество и дичайший непрофессионализм (просто проф-непригодность) как автора, так и абсолютно всего окружения(!), кто этим занимается или рассказывает об этом (включая журналистов и СМИ). Всех. Абсолютно всех, кто замешан в этом процессе и в такой подаче информации.
Студент АлтГТУ Алексей Бабушкин, который стал объектом обсуждений на многих интернет-форумах из-за созданного им антивируса, дал altapress.ru свои комментарии по поводу сложившейся ситуации.
Напомним, что Алексей Бабушкин приобрел известность в Глобальной сети недавно. Это произошло после того, как несколько алтайских СМИ выпустили материалы о нем и о созданной им антивирусной
компьютерной программе «Иммунитет». В телесюжетах, газетных и интернет-публикациях студент АлтГТУ преподносился как молодой и талантливый программист. А об антивирусе
«Иммунитет» рассказывается как об основном достижении Бабушкина на данный момент. В частности сообщается, что программа устанавливалась на компьютеры в некоторых школах Барнаула, в комитете по здравоохранению городской администрации, нескольких компаниях, и что уже продано около 1 тыс. лицензий. В материалах СМИ заявлялось, что «Иммунитет» способен конкурировать
с антивирусными программными продуктами известных брендов, и на него получен патент, а также грант 400 тыс. рублей по известной программе «У.М.Н.И.К.»
Автор видео: ГТРК «Алтай».
После выхода указанных материалов в блогах и на интернет-форумах началось активное обсуждение достижений Алексея Бабушкина. В абсолютном большинстве комментариев они критикуются. Основное
количество претензий сводится к следующему. Во-первых, по версии комментаторов, антивирусная программа «Имунитет», написана очень примитивно и не то, что не может конкурировать с известными брендами в данной области, но вообще не способна защитить компьютер от самых распространенных сегодня вирусных угроз. Во-вторых, молодого человека обвиняют в непрофессионализме
— некорректном использовании понятий и терминов, непонимании принципов работы тех или иных технических решений и т. п. (оцениваются как некорректные почти все его публичные высказывания).
В-третьих, сильной критике подверглась показанная в одном из телесюжетов флэшка-маркер, которую смастерил Алексей Бабушкин. В-четвертых, его обвиняют в том, что «Иммунитет»
продавался, благодаря протекции отца молодого человека, который работает проректором по учебной работе в АГМУ.
Алексея Бабушкина уже сравнивают со школьником Денисом Поповым, который стал известен после того, как на телевидении вышел сюжет о том, что он создал операционную систему BolgenOS. По факту его творение оказалось всего лишь модификацией известной «операционки» с открытым кодом.
Altapress.ru попросил Алексея Бабушкина прокомментировать критику в его адрес. Публикуем его комментарий полностью.
Алексей Бабушкин,
студент АлтГТУ им. Ползунова:
Если честно, это напоминает спланированную акцию. Я не отрицаю, что могу ошибаться, но факты говорят за себя. После того, как меня показали в сюжете по второму каналу сначала какие-то школьники
подняли шум на интернет-форумах по этому поводу, потом появилась статья, в которой утверждается, что моя программа разобрана и вся построена на bat-скриптах. Однако, bat-скрипты даже разбирать не надо. Они как страница html — кто угодно может прочитать. Не разобравшись, люди начали обвинять меня в том, что антивирус не работает.Потом в мою разработку начинают вставлять какие-то программы, которых там не было, меняют им авторские права и обвиняют меня в краже кода, однако на самом деле в комплект поставки никаких программ с изменёнными авторскими правами не включается. Потом находится какой-то сайт (или создаётся специально), и начинаются утверждения, будто все иконки и логотипы я своровал с сайта, однако — это опять не так, все исходники есть у меня и рисовал я всё сам.
Затем мне приходит почти 2,5 тыс. личных сообщений и все они либо идентичные, либо однотипные. Мне звонят по телефону, на электронную почту приходят просьбы о том, чтобы я признал, что мой антивирус
таковым не является и вообще не работает. Кто-то пишет, что меня нужно привлечь к ответственности, хотя на самом деле не за что. От моего имени создают фейковую страницу в одной из социальных сетей
начинают писать откровенную чушь, подставляя меня. А некоторые даже заказывают покупки в интернет-магазинах от моего имени! Письма с оскорблениями и угрозами приходят на почту и моему отцу. Отец
помог мне только придумать название «Иммунитет» — на этом его помощь заканчивается. Все остальное было достигнуто собственными силами. Кстати, на тот момент отец ещё не был
проректором.Самое странное, что большинство крупных антивирусов начинают реагировать на мой антивирус как на вирус, хотя раньше такого никогда не было и в исходном коде вирусов нет. Я свой код знаю и не стал бы распространять заразу.
В СМИ изначально информация была преподнесена некорректно. Например, о флэшке-маркере, я вообще не хотел рассказывать, как и о тестировании Windows 8, это была инициатива журналистов. Также я не продавал лицензии на «Иммунитет», я его только устанавливал и брал деньги именно за эту работу. А грант 400 тысяч рублей по программе «У.М.Н.И.К.» я получил на дальнейшее
развитие проекта. Я никогда не делал громких заявлений о том, что мой антивирус во многом превосходит «старших братьев». Все его пользователи довольны и продолжают им пользоваться. Я согласен с тем, что над ним предстоит еще много работать, но уже сейчас для самых обычных пользователей он подходит, гарантируя им защиту от большого количества вредоносных объектов.
Лавры компьютерного гения Дениса Попова, похоже, не дают покоя многим школьникам России.
Студент из АлтГТУ разработал компьютерную антивирусную программу, ее уже сейчас устанавливают в некоторых школах Барнаула
Алексей Бабушкин учится на третьем курсе технического университета. Над антивирусом “Иммунитет” он начал работать еще будучи школьником. Программа оказалась удачной. Сейчас Алексей продал более одной тысячи лицензий. В основном ее устанавливают на персональных компьютерах, но уже приобрели несколько школ и компаний краевого центра.
Мы давно заинтересовались этим проектом, — рассказывает заведующий отделением довузовской подготовки АлтГТУ Виктор Мусько. — Он выходил за рамки школьной программы. Конкурировать с известными антивирусными продуктами обычному студенту сложно. Но “Иммунитет” должен занять свою нишу в регионе. Он эффективен при блокировке вирусов, имеющих небольшой объем. В этом случае нужна компактная программа. “Иммунитет” скромно, но очень качественно выполняет свои функции.
Преимущество “Иммунитета” заключается в том, что он занимает небольшой объем памяти – всего 5-7 мегабайт. Благодаря этому компьютеры не тормозят. Годовое обслуживание антивируса стоит около 450 рублей. Название программы Алексею помог придумать его отец — проректор по учебной работе медицинского университета.
“Отец установил антивирус на рабочем компьютере, – вспоминает Алексей Бабушкин. — Работа программы ему понравилась. Он и предложил название — “Иммунитет”. Потому что антивирус лечит компьютер от болезней”.
Кстати, идея создания антивируса появилась у Алексея благодаря учителю по информатике, который часто говорил, что ученики приносят зараженные вирусами флешки и от этого школьные компьютеры глючат. Потом идея переросла в готовый продукт. Со временем друзья стали просить Алексея установить программу на их компьютеры. Когда он понял, что антивирус действительно хорошо работает, стал продавать его.
Системный администратор Александр Беллер говорит, что у “Иммунитета” есть некоторые преимущества.
— Когда я работал системным администратором в барнаульской гимназии № 69, мы установили “Иммунитет” на десятки компьютеров, в том числе и на те, не новые, которым мощные антивирусники не по зубам. И «Иммунитет» нормально работает.
Сюжет из «Вестей»
источник
Вот примерный разбор полетов этого «антивируса» (далее антивирус без кавычек), но анализ поверхностный сделанный в течение 20 минут в три часа ночи.
1. При запуске антивирус создает кучу процессов, которые порождают кучу cmd.exe выполняющих такую же кучу bat-файлов, запиханных в системные директории. Суть этих действий такова:
С некоей задержкой (которая создана способом ping mail.ru) производятся действия по редактированию некоторых мест реестра, которые любит коцать малварь (например, параметра Shell и Userinit) — производится их перезапись на дефолтное значение. Также производится проверка на всех дисках до буквы J наличие файла autorun.inf для попытки его удаления как мегаопасного вируса. Также производится перезапись файла hosts на относительный дефолт (без МС-овских комментов). Также производится мониторинг (также проверка в цикле через определенный таймаут) новых файлов в некоторых системных и не очень папках, на что затем выдается алерт об обнаружении и выбор что же с ним делать.
2. Эпическая фраза про гусей и что с ними нужно делать присутствует в главном окне настроек в правом нижнем углу
3. В программе присутствует большое количество разных «плюшек» — видимо именно на них и ушло 50к строк кода — диспетчер процессов, твикер системы и т.д
4. Разумеется, что поиск вирусов ведется не по милионной базе с эвристиком и сканером не только по ЕР, но и ОЕР (неужели автор как-то заходил на васм и вычитал эти три буквы?). Поиск по фиксированно-относительным именам файлов, найденных из описаний вирусов сайта viruslist трехлетней давности. Вроде как есть чуть поиска по маске имени файла и по паре каких-то контрольных сумм. Но ни о каком сканировании OEP речи и быть не может — даже PEiD в этом плане со своей базой ушел намного дальше, не говоря уже о exeinfo pe 🙂
Где обещанные миллионы сигнатур, эвристический детект, песочница для меня осталось загадкой.
Стоит отметить, что как и можно ожидать от бат-файлов и прочих технологий «цикличного нуля» все это работает криво и косо, ни о какой серьезности данных действий даже говорить не стоит, причем не ясно с какого момента начинать критику. Потому приведу пошаговые примеры работы реальных малварей против которых пытается нас защитить данный продукт:
1. Данный продукт не защищает от актуальных угроз — он с ними просто не знаком. Он знает лишь фиксированно-относительные пути нескольких популярных некогда зловредов, а его «проактивные технологии» — обход в цикле директорий на предмет обнаружения там файлов никак не мешает работе вредоносного программного обеспечения, лишь еденицам самым простым зловредам, авторы которых своими знаниями не сильно отличаются от автора данного антивируса, это может помешать укоренению в системе.
2. Рассмотрим типичную малварь, редактирующую hosts: в файл вносятся изменения, ему устанавливаются атрибуты скрыто-системный-… и малварь самоудаляется. Против этого антивирус бессилен — он не сможет вернуть содержимое к стандартным значениям т.к такой алгоритм действий у него не предусмотрен, он не сможет вернуть атрибуты обратно и потереть лишние зловредные записи.
3. Обычно если зловред прописывается в автозагрузку в Shell или Userinit, то он тоже мониторит свои ключи (только в более коротком цикле) и пересоздает их или и вовсе отнимает права на эту ветку реестра, что опять же делает антивирус бессильным.
4. Защита от установки драйвера также лишена смысл — драйвер создается и загружается в память — после чего обнаружение его файла на диске не имеет никакого смысла — он уже укоренился в системе.
В качестве заключения хочется сказать, что все это непотребство глючит, мешает работе, выдает алерты, требует 450 рублей в год и мешает нормально выключить компьютер, т.к эта висящая куча процессов никак не ожидает такого подвоха и начинаются алерты о необходимости их завершения.
Все выводы делать только вам.
Авторское описание антивируса.
А теперь срыв покровов:
В ЖЖ
Linux.org.ru
Хабрахабр
Форум Anti-Malware
Не для слабонервных: 2ch.hk/b/
Сам виновник торжества: Алексей Бабушкин
Сам антивирус. Качать на свой страх и риск.
Разговор с «Гением»