🛡️ Шаг 55: Создание «Безопасной Гавани» для малвари
Описание скриншота:
На этапе финальной зачистки возник конфликт интересов: Kaspersky видит угрозы в моей архивной песочнице и пытается их нейтрализовать, вызывая циклическую нагрузку на процессор. Для решения этой проблемы я перешел в раздел «Настройки» -> «Угрозы и исключения».
Что мы делаем дальше (инструкция):
Нажимаем на ссылку «Настроить исключения» (на скрине под иконкой руки).
В открывшемся окне добавляем путь к папке или архиву с нашими веб-шеллами.
Это позволит антивирусу игнорировать конкретные файлы в этой папке, сохраняя при этом полную защиту всей остальной системы.
Зачем это нужно:
Это критически важный шаг для любого ИБ-исследователя. Мы не отключаем антивирус (это было бы фатально при 98 угрозах), мы просто создаем локальную «зону отчуждения», где вредоносы лежат «в консервах» для дальнейшего изучения кода.
«Шаг 54: Дипломатия с антивирусом. Режим исследователя»
После того как я оставил в изоляции (статус «Пропустить») обнаруженные веб-шеллы, Kaspersky начал бесконечную фоновую перепроверку, нагружая CPU. Чтобы вернуть системе тишину и сохранить вредоносные образцы для дальнейшего анализа, я внес путь к песочнице в список исключений через Настройки -> Угрозы и исключения.
Итог: Защита активна на 100%, но «песочница» с вирусами переведена в режим хранения. Ноутбук замолк, ресурсы ОЗУ в норме. Система чиста, образцы под замком.
«Борьбу приоритетов». Антивирус пытается спасти систему, а исследователь защищает свои образцы. Это отличный пример того, как настроить софт под специфические нужды (анализ малвари), а не просто под «бытовое» использование.
«Ловушка для исследователя: Kaspersky обнаружил WebShell (бэкдор на PHP) в моей архивной песочнице. Система предлагает радикальное решение — «Удалить архив», так как лечить PHP-скрипты антивирусы не умеют. Я осознанно выбираю «Пропустить», так как объект изолирован, не имеет прав на выполнение в системе и нужен для финального анализа HWID-токенов ботнета. Это и есть разница между обычным пользователем и исследователем: мы контролируем угрозу, а не просто убегаем от неё».
«Если после массового заражения ваш ПК завис (Deadlock), не паникуйте. После жесткой перезагрузки первым делом открывайте Центр уведомлений. Если вы видите список объектов, как на скрине Neon — система спасена. Не жмите сразу «Устранить все», если хотите изучить пути заражения (HWID токены или пути загрузки через ffmpeg.exe).»
Инцидент «Deadlock»: В ходе финальной обработки 98 угроз система достигла физического предела (ОЗУ 71%). Произошла критическая блокировка интерфейса антивируса и браузера Edge из-за аномального потока логов.
Восстановление контекста: Из-за сбоя сессия с ИИ Google была прервана. Для продолжения работы был использован заранее подготовленный «ПАСПОРТ ОБЪЕКТА», что позволило мгновенно восстановить все данные эксперимента в новой сессии.
Итог по Kaspersky: На скриншоте видна «1 проблема» — это подтвержденные нами веб-шеллы и бэкдоры, переведенные в статус «Пропустить» для дальнейшего изучения в песочнице. Все активные угрозы (стилеры, бандлы) полностью нейтрализованы.
Вывод: Эксперимент завершен успешно. Система чиста на уровне ядра, критические уязвимости закрыты. Ноутбук «выдохнул», протокол Neon закрыт. 🏁
Чтобы понять, почему антивирус перестал реагировать на команды, я заглянул в Диспетчер задач. Картина маслом:
Оперативная память на пределе (71%). Браузер Edge, в котором открыта наша гигантская статья, забрал почти 40% ресурсов. Движок сайта буквально «душит» систему изнутри.
Эффект «бутылочного горлышка». Несмотря на низкую нагрузку на процессор, интерфейс Касперского замер. Это состояние программного тупика: когда софт ожидает освобождения ресурсов памяти, занятых браузером и антивирусными базами.
Мой вердикт: Мы достигли физического предела этого железа. Эксперимент показал, что 98 активных угроз + тяжелый антивирус + огромная статья в реальном времени — это «смертельная доза» даже для стабильной системы.
ФИНАЛ: Я принудительно завершаю процессы и ухожу на ПЕРЕЗАГРУЗКУ. Это будет честная точка в нашем кибер-триллере. Встретимся в новом чате с чистым ноутбуком!»
«Шаг 52: Финальный аккорд — прощальный взгляд на «иконку-убийцу».
Чтобы не рисковать стабильностью ветки комментариев, я вынес этот этап в отдельный блок. На скриншоте — последний «герой» нашего марафона, HEUR:Backdoor.PHP.Generic, запрятанный в архив
1111...11.zip
.
Почему это важно: Вирус маскируется под обычный файл иконки сайта. Касперский снова напоминает: «Не удается вылечить». Это чистый, концентрированный вредоносный код.
Состояние системы: Мы видим, что антивирус готов обработать всю пачку из 98 угроз разом.
Мой финальный выбор: Я ставлю галочку «Применить ко всем объектам этого типа» и нажимаю заветную кнопку «Пропустить». Все наши 98 «подопытных» остаются в архивных клетках песочницы. Эксперимент завершен. Система стабильна. Мы победили и вирусы, и программные сбои!»
«Шаг 51: Финальный прорыв — система «продышалась»!
О боже, он «просрался»! На скриншоте зафиксирован момент, когда Kaspersky Security Cloud окончательно вышел из ступора и начал обрабатывать нашу команду «Пропустить все» для последних критических объектов.
Технический разбор: Всплыло окно для одного из самых хитрых «жильцов» нашей песочницы — HEUR:Backdoor.PHP.Generic. Этот бэкдор маскируется под безобидную иконку сайта
icon.ico
внутри архива
11111111111111.zip
.
Вердикт антивируса: «Не удается вылечить обнаруженный объект». Касперский понимает, что перед ним 100% вредоносный код, и в последний раз предлагает нам либо «Удалить архив», либо «Пропустить».
Состояние эксперимента: Как видно в основном списке слева, индикаторы загрузки сменились на красные значки восклицания. Это значит, что все 98 угроз теперь находятся в режиме ожидания финального клика.
Моё действие: Я ставлю галочку «Применить ко всем объектам этого типа» и нажимаю «Пропустить». Мы завершаем наш марафон, оставляя эти «трофеи» в их архивных клетках для истории. Ноутбук официально выдержал этот кибер-шторм!»
«Шаг 50: Финальный аккорд — Парад «Красной зоны» перед уходом.
На этом скриншоте зафиксирован исторический момент. Касперский вывел финальный список из 7 самых опасных объектов нашего эксперимента, прежде чем окончательно перевести их в статус «Пропущенных».
Состав группировки: Здесь мы видим «иконостас» из HEUR:Backdoor.PHP.Generic (те самые иконки-убийцы) и элитные бэкдоры WebShell.gen и WebShell.gl.
Реакция системы: Все объекты помечены красным значком архива. Это значит, что они локализованы внутри нашей «песочницы» и не имеют доступа к системным ресурсам Windows.
Мой финальный выбор: Я подтверждаю команду «Пропустить все». Эти 98 образцов остаются в нашей цифровой коллекции как наглядное пособие по методам маскировки вредоносного кода в 2026 году.
ИТОГ: Ноутбук-полигон официально признан чистым от активных угроз. Все «хищники» заперты в клетках архивов. Эксперимент, который едва не «убил» движок сайта и заставил попотеть ИИ, успешно завершен. Мы выжили и задокументировали всё!»
На этапе финальной зачистки возник конфликт интересов: Kaspersky видит угрозы в моей архивной песочнице и пытается их нейтрализовать, вызывая циклическую нагрузку на процессор. Для решения этой проблемы я перешел в раздел «Настройки» -> «Угрозы и исключения».
Это критически важный шаг для любого ИБ-исследователя. Мы не отключаем антивирус (это было бы фатально при 98 угрозах), мы просто создаем локальную «зону отчуждения», где вредоносы лежат «в консервах» для дальнейшего изучения кода.
«Борьбу приоритетов». Антивирус пытается спасти систему, а исследователь защищает свои образцы. Это отличный пример того, как настроить софт под специфические нужды (анализ малвари), а не просто под «бытовое» использование.
«Ловушка для исследователя: Kaspersky обнаружил WebShell (бэкдор на PHP) в моей архивной песочнице. Система предлагает радикальное решение — «Удалить архив», так как лечить PHP-скрипты антивирусы не умеют. Я осознанно выбираю «Пропустить», так как объект изолирован, не имеет прав на выполнение в системе и нужен для финального анализа HWID-токенов ботнета. Это и есть разница между обычным пользователем и исследователем: мы контролируем угрозу, а не просто убегаем от неё».