Pull to refresh

Оперативность работы антивирусных компаний или история одного вирус-репорта

Reading time 3 min
Views 2.8K
Не так далеко как вчера
Прихожу с обеденного перерыва, а наш технолог плачет на взрыд.
Михалыч, тута у меня чето виндоус завис.

Пришел и возрадовался — Майкрософт уличила её (технолога) в просмотре гей-порно и требует выкуп на вебмани.

Так как избавился я от этой напасти быстро то решил для приличия проверить бесплатными антивирусами которые были под рукой а заодно и за сабмитить новый экземпляр.

Короткий «конспект» по проделанной работе под катом


Избавление


Ну для начала мы попробуем избавиться от этого гей-порно.
  • Перегружаемся в Safemode. Оно — все еще висит.
  • Быстрым движением руки вызываю Диспетчер задач (почему-то еще не был заблокирован, и слава Богу) и резко жмем удалить текущую задачу — да.
  • Удалось. Теперь запускаем msconfig и забираем из автозапуска 0.07209009531421795.exe
  • Перегружаемся во 2-й раз — опять блокируемся (видать еще где-то сидит зараза). На этот раз уже не удалось через диспетчер задач удалить.
  • Перегружаемся в 3-й раз. Но тепер Жмем Ctrl+Alt+Del сразу после появления сообщения о том что «Сейчас виндовс работает в безопасном режиме» и запускаем проводник.
  • Нахожу тот файл и переименовываю его.
  • Перегрузка. Вуаля

Одним словом вложился в 10мин.
К слову сказать на той система стоит Avast 4.8 Home Edition. Особых надежд конечно на него не питал но всё же набросил его на тот файлик. Как и ожидалось — ничего он не показал.
Тут уже включился азарт и решил проверить всеми доступными антивирусами, а также засабмитить новый семпл.
Но обо всем по порядку

Avast


Так как уже было выяснено что в авасте этот вирус не числится, то начал отправлять им копию в лабораторию. К сожалению на сайте нет формы для автоматической отправки на анализ и онлайн — сканера.
Порывшись по гуглу, обнаружил, что семплы отправляют на virus@avast.com запароленным архивом с паролем вложенным в тексте.

Dr.Web


Dr.Web — очень порадовал во всех планах. Хоть его CureIt и позже онлайн-сканер не обнаружил угрозы, но зато легко дал добавить семпл. Все было вполне логично и быстро

Касперский


Огорчил. Любые поиски гугла по фразе «Касперский online scanner» приводили на сайт www.kaspersky.ru/virusscanner где его небыло. Был только набор утилит, которые предлагалось закачать, установить и потом что-то уже с ними делать.
Благо, сразу нашлась онлайн-форма для отправки семпла в лабораторию, что и было немедленно сделано.

Результаты


Результаты тоже немножко удивили хотя если проанализировать все выше изложенное, то они были закономерны.
  • Avast — письмо отправлено с подтверждением о доставке. Но все тихо. Ответа не пришло. но через 24 часа с новой базов вирус определяется как Win32:Rootkit-gen[Rtk]
  • Dr.Web — сразу же после заполнения и отправки формы было получено письмо с тем что Файл находится на обработке, а через ~4часа уведомление о том что семпл был добавлен в базу под названием Trojan.Winlock.3256
  • Kaspersky — после сабмита пришло письмо о том что файл находится на обработке и больше ничего.
    По прошествии 24 часов попробовал на Касперкий сервер с базами от 17.11.2011 0:20:00 — определяет его как обнаружено: троянская программа Trojan-Ransom.Win32.Gimemo.dfe

Выводы, или чего бы хотелось


Как видим, все испытуемые справились с заданием. Но самым оперативным и информативным оказался Dr.Web. После него — неучаствовавший в забеге — Microsoft Security Essentials которому я засабмитил файл уже вечером поле работы, а тот на удивление среагировал на протяжении ~30мин-1час. И добавил в семпл в свои базы о чём и уведомил меня в своем письме.
3-е место занял Касперский хотя он и предупреждал меня на форме что если хотите оперативности то отправьте через личный кабинет. Но все-же я думаю смог бы снизойти до того чтобы отправить мне уведомление по почте о том что вирус добавлен.
4-е место аваст — ни онлайн-формы для сабмита, ни отчета о доставке вируса, хорошо хоть реакция не более 24часов.
Чего бы хотелось, так это простой и эффективный сервис максимум в 3 щелчка и без квестов:
  • Главный сайт
  • Пункт: Онлайн сканнер
  • Пункт: Добавить новый

P.S. Адреса для отправки новых вирусов:
Dr.Web: vms.drweb.com/online — сразу после онлайн проверки пункт «Добавить новый»
Kaspersky Antivirus: support.kaspersky.ru/virlab/helpdesk.html
Avast: virus@avast.com — запароленный архив с паролем в тексте письма.
MSSE: www.microsoft.com/security/portal/Submission/Submit.aspx
UPD:Адрес онлсан сканера Avast: onlinescan.avast.com
Tags:
Hubs:
+13
Comments 47
Comments Comments 47

Articles