Не так далеко как вчера
Прихожу с обеденного перерыва, а наш технолог плачет на взрыд.
Михалыч, тута у меня чето виндоус завис.
Пришел и возрадовался — Майкрософт уличила её (технолога) в просмотре гей-порно и требует выкуп на вебмани.
Так как избавился я от этой напасти быстро то решил для приличия проверить бесплатными антивирусами которые были под рукой а заодно и за сабмитить новый экземпляр.
Короткий «конспект» по проделанной работе под катом
Ну для начала мы попробуем избавиться от этого гей-порно.
Одним словом вложился в 10мин.
К слову сказать на той система стоит Avast 4.8 Home Edition. Особых надежд конечно на него не питал но всё же набросил его на тот файлик. Как и ожидалось — ничего он не показал.
Тут уже включился азарт и решил проверить всеми доступными антивирусами, а также засабмитить новый семпл.
Но обо всем по порядку
Так как уже было выяснено что в авасте этот вирус не числится, то начал отправлять им копию в лабораторию. К сожалению на сайте нет формы для автоматической отправки на анализ и онлайн — сканера.
Порывшись по гуглу, обнаружил, что семплы отправляют на virus@avast.com запароленным архивом с паролем вложенным в тексте.
Dr.Web — очень порадовал во всех планах. Хоть его CureIt и позже онлайн-сканер не обнаружил угрозы, но зато легко дал добавить семпл. Все было вполне логично и быстро
Огорчил. Любые поиски гугла по фразе «Касперский online scanner» приводили на сайт www.kaspersky.ru/virusscanner где его небыло. Был только набор утилит, которые предлагалось закачать, установить и потом что-то уже с ними делать.
Благо, сразу нашлась онлайн-форма для отправки семпла в лабораторию, что и было немедленно сделано.
Результаты тоже немножко удивили хотя если проанализировать все выше изложенное, то они были закономерны.
Как видим, все испытуемые справились с заданием. Но самым оперативным и информативным оказался Dr.Web. После него — неучаствовавший в забеге — Microsoft Security Essentials которому я засабмитил файл уже вечером поле работы, а тот на удивление среагировал на протяжении ~30мин-1час. И добавил в семпл в свои базы о чём и уведомил меня в своем письме.
3-е место занял Касперский хотя он и предупреждал меня на форме что если хотите оперативности то отправьте через личный кабинет. Но все-же я думаю смог бы снизойти до того чтобы отправить мне уведомление по почте о том что вирус добавлен.
4-е место аваст — ни онлайн-формы для сабмита, ни отчета о доставке вируса, хорошо хоть реакция не более 24часов.
Чего бы хотелось, так это простой и эффективный сервис максимум в 3 щелчка и без квестов:
P.S. Адреса для отправки новых вирусов:
Dr.Web: vms.drweb.com/online — сразу после онлайн проверки пункт «Добавить новый»
Kaspersky Antivirus: support.kaspersky.ru/virlab/helpdesk.html
Avast: virus@avast.com — запароленный архив с паролем в тексте письма.
MSSE: www.microsoft.com/security/portal/Submission/Submit.aspx
UPD:Адрес онлсан сканера Avast: onlinescan.avast.com
Прихожу с обеденного перерыва, а наш технолог плачет на взрыд.
Михалыч, тута у меня чето виндоус завис.
Пришел и возрадовался — Майкрософт уличила её (технолога) в просмотре гей-порно и требует выкуп на вебмани.
Так как избавился я от этой напасти быстро то решил для приличия проверить бесплатными антивирусами которые были под рукой а заодно и за сабмитить новый экземпляр.
Короткий «конспект» по проделанной работе под катом
Избавление
Ну для начала мы попробуем избавиться от этого гей-порно.
- Перегружаемся в Safemode. Оно — все еще висит.
- Быстрым движением руки вызываю Диспетчер задач (почему-то еще не был заблокирован, и слава Богу) и резко жмем удалить текущую задачу — да.
- Удалось. Теперь запускаем msconfig и забираем из автозапуска 0.07209009531421795.exe
- Перегружаемся во 2-й раз — опять блокируемся (видать еще где-то сидит зараза). На этот раз уже не удалось через диспетчер задач удалить.
- Перегружаемся в 3-й раз. Но тепер Жмем Ctrl+Alt+Del сразу после появления сообщения о том что «Сейчас виндовс работает в безопасном режиме» и запускаем проводник.
- Нахожу тот файл и переименовываю его.
- Перегрузка. Вуаля
Одним словом вложился в 10мин.
К слову сказать на той система стоит Avast 4.8 Home Edition. Особых надежд конечно на него не питал но всё же набросил его на тот файлик. Как и ожидалось — ничего он не показал.
Тут уже включился азарт и решил проверить всеми доступными антивирусами, а также засабмитить новый семпл.
Но обо всем по порядку
Avast
Так как уже было выяснено что в авасте этот вирус не числится, то начал отправлять им копию в лабораторию. К сожалению на сайте нет формы для автоматической отправки на анализ и онлайн — сканера.
Порывшись по гуглу, обнаружил, что семплы отправляют на virus@avast.com запароленным архивом с паролем вложенным в тексте.
Dr.Web
Dr.Web — очень порадовал во всех планах. Хоть его CureIt и позже онлайн-сканер не обнаружил угрозы, но зато легко дал добавить семпл. Все было вполне логично и быстро
Касперский
Огорчил. Любые поиски гугла по фразе «Касперский online scanner» приводили на сайт www.kaspersky.ru/virusscanner где его небыло. Был только набор утилит, которые предлагалось закачать, установить и потом что-то уже с ними делать.
Благо, сразу нашлась онлайн-форма для отправки семпла в лабораторию, что и было немедленно сделано.
Результаты
Результаты тоже немножко удивили хотя если проанализировать все выше изложенное, то они были закономерны.
- Avast — письмо отправлено с подтверждением о доставке. Но все тихо. Ответа не пришло. но через 24 часа с новой базов вирус определяется как Win32:Rootkit-gen[Rtk]
- Dr.Web — сразу же после заполнения и отправки формы было получено письмо с тем что Файл находится на обработке, а через ~4часа уведомление о том что семпл был добавлен в базу под названием Trojan.Winlock.3256
- Kaspersky — после сабмита пришло письмо о том что файл находится на обработке и больше ничего.
По прошествии 24 часов попробовал на Касперкий сервер с базами от 17.11.2011 0:20:00 — определяет его как обнаружено: троянская программа Trojan-Ransom.Win32.Gimemo.dfe
Выводы, или чего бы хотелось
Как видим, все испытуемые справились с заданием. Но самым оперативным и информативным оказался Dr.Web. После него — неучаствовавший в забеге — Microsoft Security Essentials которому я засабмитил файл уже вечером поле работы, а тот на удивление среагировал на протяжении ~30мин-1час. И добавил в семпл в свои базы о чём и уведомил меня в своем письме.
3-е место занял Касперский хотя он и предупреждал меня на форме что если хотите оперативности то отправьте через личный кабинет. Но все-же я думаю смог бы снизойти до того чтобы отправить мне уведомление по почте о том что вирус добавлен.
4-е место аваст — ни онлайн-формы для сабмита, ни отчета о доставке вируса, хорошо хоть реакция не более 24часов.
Чего бы хотелось, так это простой и эффективный сервис максимум в 3 щелчка и без квестов:
- Главный сайт
- Пункт: Онлайн сканнер
- Пункт: Добавить новый
P.S. Адреса для отправки новых вирусов:
Dr.Web: vms.drweb.com/online — сразу после онлайн проверки пункт «Добавить новый»
Kaspersky Antivirus: support.kaspersky.ru/virlab/helpdesk.html
Avast: virus@avast.com — запароленный архив с паролем в тексте письма.
MSSE: www.microsoft.com/security/portal/Submission/Submit.aspx
UPD:Адрес онлсан сканера Avast: onlinescan.avast.com
