Антивирусная защита *

Сегодня началась массовая рассылка файла через клиент ICQ.
Присылаемый файл snatch.exe.
Сразу же возникло желание проверить, что это за чудо.
Результат проверки через VirusTotal
По мере появления информации буду добавлять ее в этот пост.

Некоторое время назад, специалисты «ВирусБлокАда» сообщили об обнаружении нового вируса, распространяемого через USB-носители. Особенностью работы этого вредоноса является следующее:

Как показал опрос, проведённый среди пользователей Хабрахабра, только половина процента (!) (0,52%) опрошенных пользователей борются с новыми вирусами, отправляя их в техподдержку. Примерно треть лечит «фирменным антивирусом» и почти столько же — бесплатным или пытаются удалить самостоятельно.
Далее рассказ, как боролись с вирусом для «блондинок».


(p.s. Осталось 15 голосов за топик, чтобы получить инвайт на Хабр для хорошего человека. Или 65 голосов в карму, но это менее вероятно)

Привет всем!

Недавно мы уже обсудили могущество эвристических технологий современных антивирусов и пришли к мнению, что верить никому нельзя. Даже иногда себе :)

Сегодня мы поговорим о другом спорном моменте антивирусов — самозащите. Некоторые вендоры очень серьёзно относятся к этому моменту, и их продукты выстаивают даже в сложных комплексных случаях активного заражения, эффективно снимая вирусные перехваты, устанавливаясь в систему и даже в последующем удаляя уже изрядно прописавшихся зловредов. Другие считают, что активное заражение — это битва с ветряными мельницами, не приводящая ни к чему путному, а потому — LiveCD, а в ряде случаев и format c:

Отдадим должное обоим оппонентам: безусловно, если есть возможность победить вирусное противостояние — это хорошо. Если только это не приводит к бсодам и загрузке системы на пару-тройку дней. И абсолютно очевидно, что при серьёзном и комплексном заражении зачастую невозможно пробиться через активную массу перехватов, вредоносных процессов на уровне ядра и прочего — а потому часто действительно разумнее провести лечение неактивной системы (с LiveCD или сканируя винчестер на незаражённой машине), ну а в случае разношёрстной файловой инфекции — и задуматься о полной переустановке ОС.

Но не будем предаваться спорам — оставим это для следующей статьи :) Поговорим о простом: о самозащите системы даже на заведомо незаражённой системе. И примем априори:

1) имеется комплексный продукт антивирус+хипс+файервол;
2) система была незаражена, но каким-то образом проник вредоносный код;
3) вредоносный код имеет своим намерением удалить антивирус или повредить его настолько, чтобы обеспечить полную неработоспособность.

Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса с правами Local System. Идея такого подхода принадлежит моему хорошему другу Алексею Баранову, который сообщил о ней в закрытых кругах некоторое время назад. Время прошло, будем считать, что вендоры подтянулись — проверим это.

Привет всем!

Надеюсь, кому-то приведённые мной обзоры показались интересными. Продолжим! Сегодня я долго думал что бы написать. Идей не оказалось, кроме небольшой обиды на «Лабораторию Касперского», но это уже неважно и это уже почти лично-интимное.

Итак, сегодня я хочу подёргать за первичные половые признаки эвристику некоторых антивирусов. You CAN try this at home! ;) Как это обычно бывает, результаты оказались удивительными.

История винлокеров тянется уже давно. Особенно было интересно в декабре 2009 — январе 2010 с появлением семейства Digitala. Интересно потому, что умудриться организовать заражение с функционалом руткита ZeroAccess (Get Accelerator) или выполнять подгрузку вредоносной библиотеки из ADS-потока с контролем и блокировкой антивирусных процессов (iLite Net Accelerator) — это, знаете ли, не политики проводника менять и userinit дописывать! А идея дропаться после связи с командным сервером — в итоге сейчас старые дропперы не работают, а прекрасно работали ещё в феврале? Мда, обнищал нынче народ на идеи — ну да ладно! :)

Речь пойдёт не о «монстрах» дела блокировки Windows, а о куда более убогих их собратьях, коих процентов 90. Итак, ситуация: у Вас весёлое окно с вымогательством и нерабочая система.

В последнее время появилось и постепенно набирают обороты жалобы пользователей на наличие вредоносных файлов, которые не удаётся удалить никаким образом. Эти файлы видно в списке актиынх процессов, и что характерно — все они размещаются в папке C:\System Volume Information\ (или подпапках) и выполняются с правами NT-AUTHORITY\SYSTEM.

Если у Вас обнаруживается такое поведение — поздравляю, Вы подхватили Whistrler Bootkit. О нём и пойдёт речь сегодня.

Пожалуй, антивирус — один из самых сложных продуктов среди установленных на типичный домашний компьютер. Он должен обрабатывать всю информацию, ворочаемую компьютером и поступающую снаружи. Проверять каждый файл на соответствие одной из более чем четырёх миллионов сигнатур, контролировать сетевую активность, резать баннеры — и всё это не ущемляя ресурсов и оставляя шанса вирусам. Это не html-код парсить и не обрабатывать нажатие клавиш с последующей вставкой соответствующих букв в документ.

Нет, антивирус — крайне высокотехнологичный продукт, над которым трудились многие специалисты. И, казалось бы, их труд должен быть основой всей компании, а само ядро антивируса, его движок — за семью печатями в стальном сейфе за тройным кольцом охраны.

Над всеми, кому так казалось, антивирусные компании неистово смеются. Лицензирование движка сторонним компаниям для некоторых соответствующих организаций — едва ли не более серьёзный бизнес, чем собственно розничные продажи продукта.

В недавней статье Кто виноват или/и что делать для Чайников был краткий обзор так называемых винлокеров (программ-смс-вымогателей), а так же было замечено следующее "И хотя в последнее время наблюдается резкий спад активности винлокеров, вероятно, в ближайшем будущем все же стоит ожидать новых разнообразных модификаций тех или иных видов вымогателей, а значит и новых эпидемий."

И в подтверждение этих слов совсем недавно антивирусные аналитики заметили, что эти вымогатели внезапно заметно увеличили свою активность и «размножились» более чем в сто раз по сравнению с аналогичным периодом прошлого месяца! Наиболее отличившегося прозвали Trojan.Winlock.1678.

На странице http_//auto.ru/tagaz/ грузится скрипт
script type="text/javascript" src="http_//dmdfty.info/show-banner.php?kod=681458&site=www.auto.ru"


Вызывается iframe
http_//hjessc.info/cgi-bin/qp


Адрес известный: safeweb.norton.com/report/show?name=hjessc.info

Сегодня любимая обрадовала меня новостью, что и она наконец подхватила вирус, просящий отправить смс. До сих пор думал, что семью ITшника такая штука обойдёт стороной, ан нет — не обошла.
Всё началось с какого-то приложения из вконтакта.
Благо ОС не блокировалась, «вирус» работал просто: блокировал самые популярные сайты, в том числе поисковики, сайты антивирусов и электронной почты. При запросах в окне браузера появлялось

Естественно, первое, что приходит на ум: «левые» процессы, сегодня уже упомянутые AVZ, HiJackThis. С этим всё оказалось в порядке, но разум дал о себе знать — идём в c:/windows/system32/drivers/etc. Там hosts и hosts.txt. С первым на первый взгляд всё чисто, а во втором я вижу заботу создателя о наших с вами финансах:
127.0.0.1 localhost
#Отправьте смс и не мучайтесь… Реальная стоимость смски 100 рублей, а вызов программиста рублей 500 минимум:)

Накопив определенный опыт в помощи «неосторожным» и обобщив его решил написать краткую обозревательную статейку по проблеме различных смс-вымогателей ака информеров. Опытный ИТ-шник вряд ли найдет в ней что-то новое, но большая часть простых пользователей, вероятно, найдут в ней что-то полезное либо просто интересное для себя.
Назовем её «Кто виноват или/и что делать для Чайников».

Ручки шаловливые ...

Как показывает практика, для большинства простых пользователей факт заражения системы не вызывает каких-либо особых опасений — вроде все кое-как да работает, немного тормозит система да выскакивают время от времени ошибки, но в целом это не мешает удовлетворять свои скромные повседневные потребности – общаться в соц.сетях, послушать музыку да фильм посмотреть. А значит заботится о какой-то защите не кажется столь важным. А в то время зараженная ЭВМ днями напролет работает на благо ДиДосеров, спамеров да остальных не менее непорядочных товарищей…

Google довольно хорошо определяет вредоносный код на HTML-страницах, после чего уличённый сайт попадает в «чёрный список» и понижается в результатах поиска. Хуже того, о заражении мгновенно становится известно владельцу сайта, который получает фидбек от пользователей, пришедших с поисковика. Всё это очень плохо для бизнеса вирусописателей. Вот почему они придумали новый трюк: начали добавлять в страницу закодированный код вроде такого:

if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&&
(!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo")))
{
return base64_decode("PHNjcmlwdD5.. ..KS5qb2luKCIiKSk7PC9zY3JpcHQ+");
}
else
{
return "";
}

Выпущенный сегодня апдейт (McAfee DAT 5958) к антивирусу McAfee приводит к бесконечным перезагрузкам на Windows XP SP3, считая svchost.exe (Services) — вирусом.

В бесконечный ребут ушли PricewaterhouseCoopers New York (только там — сотни тысяч компьютеров), кампусы колледжей, госпитали, использующие медицинское ПО для Windows, и множество других компаний по всему миру.

Черный юмор, но Mcafee — первый антивирус, официально признавший винду вирусом.

Стали известны причины некоторого увеличения количества спама и перебоев в работе почтовых серверов в последние дни. Проблемы были вызваны действиями разработчиков бесплатного почтового антивируса ClamAV, которые блокировали версию 0.94.x антивируса. Это было сделано 15 апреля с помощью специального апдейта, после установки которого все инсталляции ClamAV просто перестали работать.

Более одного миллиона коротких ссылок (1,314,615 из них 773 оказались вредоносными) было проанализировано аналитиками из Zscaler. В результате этого получились интересные результаты:

При заходе на Хабр KIS 2010 ругается:

22.03.2010 18:51:46 Запрещено: mc.yandex.ru/watch/14199?.. Ссылка обнаружена в базе

При заходе на стартовую Яндекса — выдает:

22.03.2010 18:35:21 Запрещено: mc.yandex.ru/watch/722545 (проверка по базе подозрительных веб-адресов) mc.yandex.ru/watch/722545 Ссылка обнаружена в базе Firefox

Если перейти на mc.yandex.ru/watch/722545 — блокирует заход как «вредоносная ссылка»

Блокирует метрику, судя по всему.

UPD. База KIS обновилась в 18-30.

UPD2. Оперативно устранили — обновите базы, и все станет нормально.

Сегодня начался бета-тест RescueDisk (RD), который будет входить в KIS/KAV2011

ISO файл RD можно скачать тут

Приходит мне спам (орфография авторская):

Привет, a нафига ты всем спам присылаешь. Пожалуйста перестань. Вот зацени msguard.com как защитить свой компьютер от вируcов

Захожу на сайт, смотрю лицензионное соглашение, рассчитывая увидеть очередную «игровую программу» — и вижу:

Сегодня с утра на работе сотрудница словила троян, требующий отправки SMS на короткий номер.

Тут должна быть картинка с трояном, но что самое смешное, я не смог запустить его на виртуалке. Даже в автозагрузку его прописывал, ну не хочет работать и всё. В общем, если желающие сделают скриншот, то будет очень неплохо. Сам троян для опытов можно скачать отсюда. При этом я видел окно только мельком, но выглядело оно красиво :)Мне прислали картинку:.


По поводу механизма заражения очень хорошо расписал Olegas, я, соответственно распишу про первую часть, про лечение. Кстати, первоначально было подозрение в том, что это дыра в IE8, на практике оказалось что скорее всего вирус проник через дыру в Java или Flash. Так что, в принципе, не защищён ни один из браузеров. Анализ логов показал, что сайты посещались достаточно безобидные, на каком из них завёлся iframe с дроппером, выяснить не удалось (не все же перебирать, в самом деле).