Случай из жизни, или к вопросу о выборе антивируса для домашнего использования
Стоит ли иметь это в виду при выборе антивируса обычному пользователю?
Ни в коем случае не хочу, чтобы данный пост превратился в очередной холивар.
Исключительно информация, без навязывания авторской точки зрения.
Считаю, что полученные сведения могу представлять интерес, как для простых пользователей, так и для тех, к кому обращаются за советом. Хронология обнаружения, лечения и поиска средства защиты от очередного VB Script троянского коня. Мне очень интересен лично ваш опыт в подобных ситуациях.
Предыстория
Мои хорошие знакомые занимаются небольшим бизнесом — постобработка и фотопечать. Специфика состоит в том, что им постоянно приносят исходные материалы, в основном фото, на сменных носителях. Количество вирусов и троянов на этих носителях производит грустное впечатление об уровне компьютерной грамотности основной массы заказчиков.
По этой причине приёмка материала идёт на выделенных 2-х компьютерах, не присоединенных к сети, под пользователем с максимально урезанными правами и с антивирусом, обновляемым вручную перед каждой сменой.
В пятницу днём приёмщица обнаружила что фотографии на USB имеют странное расширение — .lnk, но это, к сожалению, её не насторожило и она механически запустила просмотр (как ей показалось), а на деле — на выполнение VBS, скрытого в подкаталоге на этом носителе. В первые полчаса ничего не происходило, потом начались «странности». На чистых USB флешках следующих заказчиков стали появляться подкаталоги, в которые переносились фото, появилась постоянная активность жесткого диска. И.т.п. Через час была поднята тревога, владельцем сделан «звонок другу». Я подъехал через 2 часа после начала событий, сразу по окончании своего рабочего дня на основной работе.
Предварительное обследование
С помощью HiJackThis было обнаружено, что в пользовательский автозапуск прописался запуск скрипта вызовом Wsscript.exe файлом из подкаталога %Userprofile%\APPDATA.
Быстрый поиск файла выдал 300-килобайтный VB Script который оказался обработан обфускатором, т.е. код был не читаем.
Убивание процесса, удаление этого файла и чистка содержимого временных каталогов давали на выходе машину, которая вела себя, как незаражённая. Быстрый поиск инструментов, которые блокировали бы заражение привел к утилите на Sourceforge. Ранее от её использования останавливал нежелательный побочный эффект: создание подкаталога Autorun.inf в корне каждого вставляемого носителя и навязчивые сообщения об ошибке записи, если носитель от записи защищен. В ситуации, когда используемый антивирус никак не реагировал, пришлось пойти на такие жертвы и начать использовать эту утилиту. Кстати, она очень пригодилась позже. Когда ситуация разрешилась.
Хьюстон, у нас проблемы!
По приезду домой я решил, что стоит посмотреть внимательнее на обнаруженного трояна и подключить к работе канал обратной связи антивирусных вендоров.
Отправка файла на Virustotal ещё днём радостно сообщала, что средство лечения и защиты есть, но мне с этого было не очень весело.
Из дома я повторил запрос, результат был такой же. Срочно приобрести и поставить не использовавшийся ранее антивирус — это было не самое правильное, и главное — неэффективное решение. Просим помощь зала, точнее специалистов.
Быстрый набросок списка распространенных у нас антивирусов, поиск форм обратной связи в Google по фразе «как отправить вирус на XXX», где XXX = название антивируса.
Что получилось:
1) DrWeb
2) Microsoft
3) Касперский
4) ESET
5) Comodo
6) McAfee
7) MalwareBytes — быстрый поиск выдал облом, зато случайно вывел на Emsisoft
8) Symantec
Сама отправка — отдельная песня, наверное стоит как-то производителям договориться, принять стандарт. Где требуется упаковать зараженный файл средствами ОС, где используя ZIP, где просто вложив файл в форму, где отправить на e-mail. Отдельный тупик у меня вызвала отправка без введения номера договора на Symantec (я её так и не победил). При упаковке в архив встретились варианты: 1) любой пароль, указать в письме, какой, 2) infected, 3) INFECTED, 4) virus, 5) VIRUS.
На простую отправку ушло почти полчаса. Много. И это только урезанный список получателей.
* Кстати, может быть есть коллектор, который позволяет помимо анализа (virus total) ещё и доставить образец по всем вендорам? Буду признателен за наводку на подобный сервис в комментариях.
Первые результаты
Через 40 минут (!) пришло письмо от McAfee с вложением файла Extra.dat, и ссылкой на инструкцию, как это дополнение к основной вирусной базе задействовать. Варианты не пропустить субботу для приёмки фото от клиентов стали становиться реальностью.
До утра кроме подтверждений о взятии в работу от DrWeb ( [drweb.com #4467210] Создан: SUBMITTED VIRUS ), Лаборатории Касперского ( [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-1284347345] ), ESET (Ваше обращение зарегистрировано под номером 863467 ) и Майкрософт (письмо со ссылкой) больше ответов не поступало.
Утром, перед тем, как ехать приобретать McAfee я ещё раз проверил почту и обнаружил там подтверждение от Майкрософт о решении проблемы и включении лекарства (а значит и постоянной защиты) в антивирусные базы для семейства их антивирусных средств. В письме особо подчеркивалось, что новая база пока есть только в Prerelease состоянии, и указывалась ссылка, откуда её можно скачать.
За полчаса до открытия я позвонил другу и сообщил, что его самый прибыльный за неделю день не отменяется? и выехал посмотреть, как будет работать обновление. Обновление баз штатным механизмом к положительному результату не привело, обновление из хранилища предварительных версий антивирусных баз проблему закрыло. Вирус на зараженной специально для этого машине был уничтожен, USB носители пострадавшие ранее от вируса очищались при обращении к ним. Превращение файлов и папок из «скрытых и системных» на носителях в обычные было показано приёмщицам, однако проще оказалось научить их нажимать одну кнопку в USB-Guard, чем добиваться автоматизма в нажатиях на правую кнопку мыши и выбор нужных пунктов в меню свойств файлов и папок. :-)
Работа началась, довольные клиенты начали сдавать фотографии в печать.
Послесловие
Через час после начала работы приёмки я ещё раз штатно обновил у себя на ноутбуке встроенный в Windows 8.1 антивирус, проверил текущую версию баз на нём и на рабочей машине, убедился, что номер версии стал выше, чем тот, который был прислан поддержкой, проверил оставшийся образец и остался без образца. (Шутка. Образец в зашифрованном архиве никуда не делся) Лечение отработало штатно и с использованием общедоступных баз. Тревога, что в понедельник я увижу на работе кучу зараженных машин окончательно ушла.
Для полноты картины я вечером повторил запрос на VirusTotal. Результат меня озадачил. С одной стороны, McAfee выдали лекарство первыми (Sophos я так и не поставил в виртуалку для проверки, вариант приобрести отпал за ненадобностью, а их разовая утилита очистки запросила от 6-ти часов на разовую проверку системы — я не стал ждать. Это перебор. С другой — лекарство от рекордсменов по скорости реакции в паблик доступ не поступило. Оставшиеся работающие варианты защиты: от Trend Micro House Call — разовая утилита. От нового заражения не спасает, не является решением в моём случае. От Emsisoft — не стал проверять. Есть сложность с приобретением. В ближайшем компьютерном «магазине через дорогу» продать не смогли.
Итого: через сутки после предоставления образца под защитой без каких-либо дополнительных усилий со стороны пользователя оказались только те, кто использует встроенную (или бесплатно устанавливаемую) антивирусную защиту от производителя ОС.
Вопросы сообществу:
Меня очень удивила скорость реакции на обращение и увиденная последовательность попадания угрозы в список в базах антивирусных вендоров.
- Это характерно или в данном случае я наблюдал редкое исключение по причине экзотичности трояна?
- Что-то принципиально изменилось бы, если бы обращение было размещено 1) не в ночь на субботу 2) от зарегистрированного пользователя?
- Если бы изменилось, то это нормально, зная о потенциальной угрозе не предоставлять лекарство от неё в течении такого времени всем, в том числе и покупателям продуктов?
PS Прошу воздержаться от комментариев вида «используйте Linux/Mac/etc.» — стоимость обучения кадров и/или стоимость оборудования, стоимость владения — тема отдельного разговора. Выбор Windows финансово показал удовлетворяющие бизнес результаты.
PS2 Для чистоты картины я не указывал при обращении, что являюсь зарегистрированных корпоративным пользователем ни для одного продукта. 1) У меня был ещё день в запасе, чтобы в случае чего использовать этот канал 2) Мне была интересна реакция антивирусных производителей на обращения «со стороны»
PS3 Коллектор virusscan.jotti.org/ru/scanresult/079f5a1684e57a806447af9109b00b1d19311f15, как выяснилось выдает состояние проверки с очень сильно запаздывающим обновлением антивирусных баз.
Красиво, но очень неоперативно
Зато «влезает один экран» :-)
PS4 Троянец оказался не так прост. Список побочных эффектов и активностей