Антивирусная правДА!TM

payshanba, 24-aprel, 2025

Наши читатели уже стали гуру в области антивирусной защиты и знают все о фишинге, безопасных онлайн-платежах и адекватном поведении в сети. В этот раз мы решили позадавать каверзные вопросы специалистам «Доктор Веб» и выпустить статью в формате интервью, чтобы разобраться с вредоносными расширениями для браузера. Вещь полезная и рабочая, но пользоваться ей нужно с умом (как всегда).

Нельзя просто так взять и запретить разработчикам создавать расширения для браузеров, ведь они — и разработчики, и расширения — делают работу и досуг пользователей комфортными. Насколько проще и приятнее становится работать в браузере благодаря функционалу плагинов! Но, как всегда в таких вопросах и бывает, можно по ошибке или невнимательности скачать вместо полезного плагина вредоносную программу. Давайте разбираться, как максимально обезопасить себя от этой угрозы.

Отвечают специалисты «Доктор Веб»

Как вредоносным расширениям удается просочиться на компьютер?

Фишинг и социальная инженерия. Это классика. Злоумышленники могут использовать фишинг для обмана пользователей, мотивируя их устанавливать вредоносные плагины под видом легитимных. Еще они любят накручивать положительные отзывы у заведомо вредоносных или нерабочих расширений. Можно сказать, что над этим работают специалисты широкого спектра, подключая PR для поднятия рейтинга.

Обновления. Тут два варианта. Иногда вредоносные плагины могут быть установлены через обновления легитимных приложений, если разработчики были скомпрометированы. Либо бывает так, что злоумышленники покупают заброшенное расширение и выпускают для него обновление с вредоносным кодом или вредоносным функционалом.

Распространение через торренты и файлообменники. Вредоносные плагины можно, словно подарки на Рождество, красиво упаковать в пиратские версии программного обеспечения, доступные на торрентах.

Какой функционал антивируса способен выявить вредоносный плагин, и как это работает?

Антивирус автоматически проверяет все компоненты приложения на безопасность. Dr.Web умеет детектировать вредоносные плагины по облаку и осуществляет сигнатурный и эвристический анализ JavaScript-кода расширений.

Работает это так. Любое расширение для браузера состоит из нескольких файлов, среди них есть те, которые содержат код на языке JavaScript. Если мы находим в этих файлах вредоносную активность, то добавляем информацию в базы данных Dr.Web. Это помогает обнаружить и заблокировать такой же вредоносный код у пользователей. Кроме того, мы также анализируем расширения и можем добавить информацию о них в Облако Dr.Web. Если пользователь пытается установить опасное расширение, но у него включено использование Облака Dr.Web, антивирус сможет предупредить его об угрозе.

Правда ли, что антивирус может не среагировать на вредоносное расширение?

Антивирус дает нам время для адекватного реагирования и принятия решений. Он помогает предотвратить или нейтрализовать угрозу и вернуть работоспособность системы. Пользователям остается только вести себя осторожно.

Периодически случается так, что пользователь настаивает на своем решении. Мы это уважаем, но напоминаем об ответственности. У нашей компании достаточно кейсов, когда антивирус Dr.Web упорно удалял угрозу при попытке установки пиратской версии игры, но пользователь принимал решение отключить защиту, а не прислушаться к ней. Это приводило к заражению системы со всеми вытекающими последствиями вроде работы майнера, кражи паролей с помощью стилера и т.д.

Так что призываем всех к благоразумию.

Почему нет гарантий безопасности при скачивании расширений из официальных магазинов?

Злоумышленники могут сделать так, что вредоносный плагин будет выглядеть как легитимный и полезный. Они могут скрыть опасные функции за привлекательными возможностями и заставить плагин работать в фоновом режиме, чтобы пользователь ничего не заметил.

Где на компьютере отыскать все установленные расширения?

Они находятся в списке установленных расширений. Для их просмотра нужно открыть используемый браузер и перейти в раздел «Дополнения» или «Расширения» — во всех браузерах путь примерно одинаковый, равно как и названия разделов. Здесь можно проверить, не были ли какие-то расширения установлены без вашего ведома.

Может ли обычный пользователь найти среди установленных расширений вредоносные?

Вредоносные плагины выглядят, как оригинальные: выполняют свои функции, не выдают себя, но на самом деле представляют угрозу. Злоумышленники идут ва-банк и могут использовать специальные программы, чтобы защитить вредоносный плагин от удаления.

Чтобы самостоятельно попытаться вычислить вредоносные расширения, смотрите на поведение браузера и устройства в целом.

На какие улики обратить внимание в поисках вредоносной активности плагинов?

Достаточно частые симптомы вредоносной активности — это самопроизвольное открытие вкладок или появление всплывающих рекламных окон в браузере.

То есть нужно следить за адекватностью контента, изменением содержимого веб-страниц и работой устройства. Если вследствие случайной установки вредоносного плагина на компьютере поселился майнер или шпион, устройство начнет работать медленнее, появится гора рекламных сообщений, всплывающих окон или новые поисковые страницы, батарея устройства будет быстро разряжаться. В этом случае советуем проанализировать самые энергоемкие процессы, а также проверить автозагрузки и удалить незнакомые и подозрительные расширения. Для надежности лучше обратиться к специалисту.

Стоит иметь ввиду, что современные майнеры могут отключаться или скрывать свою активность, когда вы открываете диспетчер задач, что делает их обнаружение задачей со звездочкой. В этом случае пользователю поможет сканирование системы с помощью Dr.Web FixIt!.

Также могут возникнуть проблемы с резолвом вредоносных доменов — это процесс преобразования доменного имени в IP-адрес (от английского слова resolve). Пользователь вводит адрес веб-сайта, а система доменных имен (DNS) переводит его в числовой IP-формат. Увидели подозрительные адреса, похожие на случайный набор букв и цифр — ищите источник проблемы.

— Вредоносный код, который отправляет данные на сервер злоумышленников или получает от него команды, должен подключаться к управляющему серверу. Этот сервер можно указать как IP-адрес или доменное имя. Если используется доменное имя, нужно преобразовать его в IP-адрес, чтобы установить соединение. Этот процесс называется разрешением имени или резолвом.

И самое важное: вредоносные расширения — всегда бесплатные. Если плагин предлагает бесплатные функции, пользователь расплачивается не деньгами, а чем-то другим. Так, в настоящее время не существует безопасных бесплатных VPN-расширений или способов обхода блокировок — очень часто под видом таких плагинов распространяется вредоносное ПО.

Как определить перед установкой: вредоносное расширение или нет?

Как бы утомительно или заезженно это ни звучало, желательно изучить отзывы и общую пользовательскую оценку расширения. Низкий рейтинг, только негативные или исключительно восторженные отзывы — тревожный звоночек.

Второе — проверить список требуемых разрешений для работы расширения. Если плагин просит разрешить доступ к функциям, которые не обязательны для его работы, лучше не устанавливайте.

Третье — проверить разработчика расширения. Надежные вендоры обычно не скрывают адрес своего официального веб-сайта и предоставляют поддержку.

Также необходимо заблокировать смену домашней страницы и замену поисковой системы по умолчанию и не устанавливать дополнительное ПО в процессе установки расширений.