Комментарии

• Что происходит: Сейчас Касперский предлагает решить судьбу HEUR:Backdoor.PHP.Generic, замаскированного под иконку 

  icon.ico

   внутри архива. Это подтверждает мою теорию: антивирус не просто «пропускает», он заново проверяет целостность каждого контейнера перед тем, как оставить его в покое.
• Состояние системы: Хотя индикаторы загрузки в основном списке всё ещё крутятся, появление интерактивного окна — это верный признак того, что мы победили в этой битве ресурсов.

«Шаг 47: Бесконечные циклы — Антивирус против «Песочницы».

На скриншоте наглядно видна патовая ситуация. Я нажал «Пропустить все», чтобы завершить эксперимент, но Kaspersky Security Cloud «завис» в режиме бесконечной проверки.

• В чем причина «гнойного» ожидания: Поскольку вирусы находятся внутри архивов (

  .zip

  , 

  .tgz

  , 

  .tar

  ), антивирус перед тем, как окончательно «пропустить» их, вынужден заново просканировать структуру контейнеров. Он ищет связи между ними, проверяя, не являются ли эти файлы частью одного активного процесса.
• Нагрузка на систему: Как и в случае с движком сайта и ИИ, антивирус достиг своего предела. Работа с 98 сложными угрозами в реальном времени превратила процесс удаления в затяжную борьбу ресурсов.

Мой вывод: Даже команда «Пропустить» для такого количества бэкдоров требует колоссального времени. Мы наглядно видим, почему систему нельзя доводить до такого состояния — очистка превращается в бесконечное ожидание. Ждем финального «отвисания» системы».

• Движок InstantCMS: Он первым показал признаки перегрузки из-за объема текста и скриптов. Потребовалось использовать альтернативные методы в комментариях для сохранения контента.
• ИИ Google (Gemini): Даже мощные облачные нейросети стали заметно тормозить, пытаясь обработать и проанализировать большой объем данных и скриншотов, генерируемых в реальном времени.
• Kaspersky Security Cloud: На скриншоте видно, что антивирус «задумался». Обработка 98 угроз в реальном времени создает колоссальную нагрузку на систему.

1. Шелл-дуплеты: Модификации .gl и .gen (

   tem.php

    и 

   tster.php

   ) снова вышли на первый план. Система безопасности подтвердила свою надежность, не дав проскочить ни одному файлу при их одновременной активации.
2. Иконостас паразитов: Четыре объекта HEUR:Backdoor.PHP.Generic подряд, замаскированные под иконки 

   icon.ico

   . Это наглядное пособие по тому, как вредоносный код прячется в самых обычных элементах дизайна сайта.
3. Временные десанты: Обнаружен еще один WebShell.gen в папке 

   downtemp

    — вирус пытался закрепиться даже в системных временных хранилищах.

«Шаг 5: Настойчивость защиты — почему антивирус «вцепился» в этот файл.

На скриншоте мы снова видим Backdoor.PHP.WebShell.gl. Касперский раз за разом выводит уведомление именно по этому объекту (

tem.php

), даже если мы пытаемся переключиться на другие.

• В чём причина: Для системы безопасности этот бэкдор — критическая точка. Его код (модификация .gl) считается крайне опасным, так как он предназначен для скрытного удалённого управления сервером. Антивирус ставит его в приоритет перед «обычными» троянами-иконками, которые мы видим ниже в списке.
• Технический нюанс: Обратите внимание на статус «Не удается вылечить». Касперский понимает, что внутри архива сидит «чистый яд», и буквально умоляет пользователя нажать «Удалить архив».

Мой выбор: Я продолжаю гнуть свою линию исследователя и нажимаю «Пропустить». Да, антивирус будет предлагать его снова, но для нашей «песочницы» это самый ценный экземпляр. Мы приучаем систему, что в этой папке мы — главные, и файлы здесь лежат для науки, а не для запуска».

• Объект: HEUR:Backdoor.PHP.WebShell.gen (файл 

  tster.php

  ).
• Технический разбор: Несмотря на то, что это тоже «веб-шелл», система обрабатывает его отдельно, так как он находится в другом архивном контейнере внутри нашей песочницы. Это «тестер», который проверяет уязвимости сервера перед основным ударом.
• Состояние очереди: Обратите внимание на список слева — там уже выстроились в ряд HEUR:Backdoor.PHP.Generic, замаскированные под иконки 

  icon.ico

  . Антивирус уже «держит их на мушке», но не покажет уведомления, пока мы не закроем текущее дело.

• Объект: Backdoor.PHP.WebShell.gl (файл 

  tem.php

  ).
• Локация: Тот же архив-матрешка в папке 

  srv3

  . Это модификация бэкдора, которая специализируется на скрытном выполнении команд. Её код отличается от предыдущего .gen, что требует от антивируса отдельного анализа.
• Поведение системы: Касперский не позволяет закрыть это окно, пока не будет принято решение. Это идеальная иллюстрация того, что при массовом заражении антивирус буквально засыпает пользователя уведомлениями, не давая вредоносному ПО шанса «отлежаться» в памяти.

• Приоритет №1: Касперский заблокировал интерфейс и вывел окно выбора действия для HEUR:Backdoor.PHP.WebShell.gen (

  tster.php

  ). Это критический бэкдор-тестер, который хакеры используют для первичной разведки на сервере.
• Очередь №2: Второй объект, Backdoor.PHP.WebShell.gl, уже помечен антивирусом (крутящийся индикатор слева), но система ждёт, пока я разберусь с первым «боссом».
• Тактика маскировки: Обратите внимание на нижнюю часть списка. Там затаились HEUR:Backdoor.PHP.Generic, которые маскируются под иконки 

  icon.ico

  . Мы до них доберёмся позже.

tster.php

srv3

1. Backdoor.PHP.WebShell.gl (файл 

   tem.php

   )
2. HEUR:Backdoor.PHP.WebShell.gen (файл 

   tster.php

   )

• Технический разбор: Эти объекты — «высшая лига» вредоносного ПО для веб-серверов. Версия .gl использует более сложную обфускацию (запутывание кода), а .gen — это классический универсальный «движок» для захвата управления сайтом. Оба они запрятаны в многослойные архивы (

  .tgz

   -> 

  .tar

  ), что является стандартом хакерской маскировки.
• Состояние эксперимента: Как видно по путям (

  C:\Users\admin\Downloads\srv3...

  ), оба вируса находятся в моей изолированной «песочнице». Они упакованы и не имеют прав на исполнение в текущей среде.
• Моё действие: Я осознанно нажимаю «Пропустить» для обоих объектов. Моя задача — зафиксировать реакцию антивируса на одновременную попытку взаимодействия с этими «экспонатами» и сохранить их для дальнейшего изучения структуры кода.

«ИТОГ ЧЕТВЕРТОГО ЭТАПА: СЕТЕВАЯ МИМИКРИЯ И БЛОКИРОВКА БАЗ

Подводим промежуточный итог разбора системных бэкдоров в нашей «песочнице». Ситуация на скриншоте наглядно показывает тактику современных хакеров:

1. Маскировка под графику: Обратите внимание на 4 центральных объекта — HEUR:Backdoor.PHP.Generic. Все они маскируются под файл иконки сайта (icon.ico). Это расчет на то, что администратор сервера при ручной проверке папки 

   img

    пропустит вредоносный PHP-код, приняв его за обычную картинку.
2. Архивные «мины»: Вирусы упакованы в архивы с подозрительными названиями (

   33.zip

   , 

   11111111111.zip

   ). Это классический способ хранения вредоносного софта в «спящем» режиме до момента его активации на сервере.
3. Неизлечимость: Для всех 6 объектов вердикт Касперского один — «Не удается вылечить». Это подтверждает, что файлы на 100% состоят из вредоносных команд.

Мой вывод: Мы столкнулись с системной попыткой заражения через визуальные элементы сайта. Все эти объекты я осознанно пропустил (нажал «Пропустить»), так как они находятся в моей изолированной папке 

bd

 и не могут самопроизвольно запуститься. Ноутбук остается под полным контролем.

Что дальше: Мы выходим на финишную прямую. Впереди — самый опасный «хищник» нашей коллекции, шпион Trojan-PSW.MSIL.Coins.gen, который охотится за вашими деньгами. Переходим к финальному блоку: «Ликвидация стилеров»!»