Антивирусная защита *

Большинство программистов учатся постоянно. Мы читаем книги гуру и смотрим код профессионалов. И спорим какой метод лучше и какое решение красивее.
Но представим себе что есть суперпрофессионал, код которого нам удалось посмотреть. Чему мы можем научиться у него? И какие выводы мы сможем сделать?

Итак — искусственные иммунные системы.

Интернет уже не тот, что прежде — кругом враги. Тема обнаружения непосредственного заражения сайта и поиска вредоносных/зараженных скриптов на взломанном сайте рассмотрена слабо, попробуем это исправить.
Итак, представляем вашему вниманию Linux Malware Detect.

Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.

На жизненном пути каждого системного администратора время от времени встает вопрос: какой антивирус выбрать для компании с учетом постоянной конкурентной борьбы на этом рынке? Порой и не уследишь у кого появился новый функционал, а кто еще «догоняет».

Безусловно, при выборе антивируса нас интересуют множество параметров. Вот некоторые из них:

• Универсальность:

Должен справляться со всем и сразу (трояны, малвари, спайботы и т.д.)

• Актуальность вирусных сигнатур:

На сегодняшний день отрасль вирусописания развита до безобразия. Этим занимается кому только не лень. Большинство, конечно, это школьники, которым хочется самореализоваться. Но несмотря на это, вирус и из под таких рук может нанести вред. Поэтому для нас так важно, чтобы антивирус знал как бороться с вирусами до того как они попадают в сеть максимально «пост приближенно» к его дебюту.

• Централизованное управление:

Для компании с большим парком машин, безусловно, необходим инструмент централизованного управления антивирусным продуктом на рабочих станциях.

• Нагрузка системы:

Может, конечно, кого-то не волнует этот вопрос при выборе антивируса. Честно говоря, меня тоже раньше не беспокоил, пока я работал в крупных компаниях. Компьютер тормозит? Может проверим хард, проверим на вирусы, переставим систему? Нее, зачем… Это долго, лучше купим новый! Сейчас такой роскоши нет. Приходится работать с оборудованием моих школьных лет. Поэтому для меня этот параметр антивирусного продукта как никогда актуален. Думаю таких компаний еще немало.

Поэтому в этой статье речь пойдет именно о производительности на маломощном железе.
В тестировании примут участие яркие представители семейства антивирусных:

• Kaspersky Internet Security 2013
• Dr.Web 7.0
• NOD32 Smart Security 5
• Microsoft Security Essential

Начиная с 18.06.2013 поддержка Symantec Antivirus Corporate Edition 10 прекращена
Существенным является факт, что LiveUpdate продолжит выполняться без видимых ошибок, хоть новых сигнатур загружать и не будет. Сам же антивирус уведомит об устаревших базах тоже далеко не сразу (не ранее, чем через месяц) и только при перезагрузке компьютера. В частности я лишь через полтора месяца обнаружил, что у антивируса устаревшие сигнатуры.
Проверьте обслуживаемые вами системы и консультируемых вами пользователей на предмет пользования устаревшим и необновляемым антивирусом.

P.S. Может быть эта новость будет и несколько запоздалой, но я пока что не встречал.

Данная статья является переводом статьи от 13.07.2012 за авторством Александра Матросова, ссылку на которую я нашел в конце поста про утечку исходников Carberp. Мне она показалась интересной и я решил ее перевести.
Кому стало так же интересно, добро пожаловать под кат.

Захватывающее действие разворачивается на Вашем компьютере совсем неожиданно и, как правило, в самый неподходящий момент. Начинается все просто, Вы отправляетесь на свой любимый сайт или в социальную сеть и обнаруживаете что-то необычное…

Так случилось и с моим компьютером. Захожу на сайт, вижу в левом углу неприличную картинку (рекламный баннер). В голове промелькнуло 2 мысли:

• заражен мой браузер
• заражен сайт

Побродив по нескольким сайтам и не увидев этого самого баннера, я сделал вывод, что все-таки заражен сайт. Так как это был сайт довольно крупной компании, я позвонил в тех. поддержку. Выслушали, выразили благодарность за бдительность, но во время разговора сообщили, что у них этот баннер не отображается ни под одним браузером.

Анализ сайта

Начал исследовать сайт, и вижу, что в коде Яндекс метрики есть такая строчка:

<noscript><div><img src="//mc.yandex.ru/watch/image2.jpg" style="position:absolute; ..." alt=""></div></noscript>

Именно она и показывает баннер. Не совсем понятно, как это делается в теге , однако ясно, что ссылка на картинку фишинговая.

Файл hosts

Отправляемся в файлик hosts (%windir%\system32\drivers\etc\hosts).
И вот тут мной была допущена серьезная ошибка: открыл, посмотрел, все число, закрыл. Однако не обратил внимания на появившуюся полосу прокрутки.

Как мы уже рассказывали на VolgaCTF2012, сейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машина Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий анализатор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки.

Одним из наиболее актуальных способов распространения вредоносного кода на сегодняшний день являются Java-эксплойты, которые встречаются в любом эксплойт-паке. Такая популярность обусловлена несколькими факторами:

• использование Oracle Java более чем на 3 миллиардах компьютеров;
• кроссплатформенность эксплойтов;
• относительная простота эксплуатации уязвимостей;
• в большинстве случаев Java-плагин включен в браузере.

Java-эксплойты обрели широкую популярность у злоумышленников из-за большого количества логических уязвимостей в Java. Такие уязвимости позволяют выполнить произвольный код незаметно для пользователя, потому что их использование обычно не сопровождается падением процессов браузера или виртуальной машины Java. С 2010 года злоумышленники использовали для заражения уязвимости CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500 и CVE-2012-4681, а с самого начала 2013 года стали активно использовать новую уязвимость СVE-2013-0433.

Молодой студент-третьекурсник из АлтГТУ разработал компьютерную антивирусную программу под названием “Иммунитет”. По словам АП, эту программу сейчас устанавливают в некоторых школах Барнаула. На данный момент продано уже более тысячи копий этого антивируса! В основном ее устанавливают на персональных компьютерах, но уже приобрели несколько школ и компаний краевого центра.

Каждому хоть раз да хотелось полазить в чужих файлах без их ведома, но многих отталкивает идея скачивание различных генераторов, потому что неизвестно, что ещё в них запихнули создатели, да и антивирусы их видят на ура. Однажды мне тоже захотелось чего-нибудь да сделать. Сначала я решил освоить что-нибудь простое и необходимое и начал с командной строки, вещи как впоследствии оказалось незаменимой.

Все началось, когда появился Грендель.

Двадцатого марта 20** года в глобальной сети Интернет царил хаос. Звонкой мартовской капелью падали сервера; базы данных таяли, как тонкий весенний лёд. Всемирная Паутина оказалась разодрана в клочья меньше, чем за полтора часа. Антивирусные мониторы были бесполезны. Фаерволлы — бессмысленны. Невиданный вирус, словно чума, признавал лишь одну защиту: полную изоляцию. Подобно демону преисподней, он возник из смрадного Ниоткуда — и вернулся туда ровно через один час двадцать четыре минуты, не оставив после себя байта на байте.

Операторы техподдержки и сисадмины видимо обратили внимание на резкий всплеск жалоб от пользователей Avast, у которых со вчерашней ночи (у некоторых сегодня) пропала сеть. У многих в состоянии сетевого подключения на месте IP-адреса и MAC была пустота, у использовавших PPPoE выдавало 720 ошибку.

Введение

Многие наверняка знают это чувство опасения за свою флешку, подключая ее в «чужой» компьютер. Тем более, если нельзя посмотреть что происходит в операционной системе этого компьютера из-за прав пользователя, да и сам этот компьютер «публичного доступа» ( аудитория в учебном заведении). И еще более паршивое чувство, когда опасения оправдываются: помимо записи на флешку, вирус некоторым образом модифицирует данные на ней, притом криво.
С этим столкнулся и я. А заполучив образец вируса на подставную флешку, решил разобраться, что еще он делает и в чем вообще заключается суть его работы, а главное – как изгнать эту заразу с компов и «зараженных» флешек.
Статья будет полезна тем, кому интересна область анализа ПО, независимо от квалификации и навыков (специалисты могут в комментарии написать о своем опыте).

Позавчера Федеральная торговая комиссия (FTC) провела пресс-конфренцию, где рассказала о серьёзных масштабах телефонного мошенничества в США, связанного с техподдержкой Windows. Неграмотным пользователям ПК звонят по телефону и банально разводят на деньги. Это кажется примитивным, но в реальности некоторые люди поддаются на обман и платят за «техподдержку» от $49 до $450.

По оценке FTC, речь идёт о международном мошенничестве на десятки миллионов долларов. FTC заморозила активы шести компаний, которые занимались подобным бизнесом. Пять из них вели дела с помощью «холодных звонков», а шестая размещала поисковую рекламу в Google по запросам [телефон техподдержки] и др., так что пользователи сами звонили.

Статья об этом была опубликована на сайте Ars Technica, и — удивительное совпадение — буквально на следующий день один из журналистов издания получил звонок от человека, который попытался обмануть его в точности таким же способом! Естественно, журналист был наготове: он сделал вид, что следует инструкциям мошенника, связался с человеком, у которого есть Windows на виртуальной машине, и полностью записал телефонный разговор.

ey eto vasha novaya kartina profil'? h t t p:// goo.gl/agsIb?img=user_name (пробелы стоят, чтоб ссылка не парсилась, если копировать в скайп и так далее) — именно такое сообщение я получил от бывшего тимлида, с которым давно не общались.

Странное дело, подумал я, но человек заслуживает доверия, и я открыл ссылку. браузер предложил сохранить зип архив, после чего я решил больше не рисковать.

Через минуту такие же сообщения начали приходить от других контактов, и даже нашего HR. Не успел я и оповестить коллег — один уже запустил exe-шник — последствий видимых нет.

Собственно кто сталкивался, что это за зверь?

В последние месяцы меня преследуют проблемы с вирусами на моих файловых серверах. То Nod32 блокирует поддомены, то Касперский вносит сайт в черный список. Меня это никак не может радовать и я принял решение настроить какой нибудь антивирус.

Евгений Касперский опубликовал у себя в блоге пост, где подробно рассказал о борьбе компании с патентым троллем.

Эпопея началась в 2008 году с решения не поддаваться на шантаж компании IPAT. По словам Касперского, его лаборатория была не единственной жертвой тролля, но единственной, что принципиально не принимала никаких предложений о «мирном» разрешении проблемы.

Другие производители антивирусов выплатили IPAT от нескольких десятков тысяч до нескольких миллионов долларов.

Интересный вид конкуренции случайно предложила компания Symantec. Их Norton 360 обнаружил в файле с цифровой подписью троян. Что ж в этом такого, спросите вы? А то, что файл подписан Лабораторией Касперского и является исполняемым файлом продукта Kaspersky Password Manager.



Некрасиво получилось, право слово…

Предлагаемая к ознакомлению статья расскажет как из популярного инструмента лечения от компьютерных вирусов сделать загружаемый по сети (pxe-bootable) вариант. Материал будет полезен системным администраторам, работникам сервис-центров и, возможно, кому-то еще, кому часто приходится реанимировать зараженные вирусами компьютеры.

Статья актуальна для версии Kaspersky Rescue Disk 10.0.31.4 (последняя на момент публикации версия).

Постановка задачи

Задача сводится к нескольким пунктам:

1. Адаптировать Kaspersky Rescue Disk 10 (далее просто KRD10) к загрузке по сети.
2. Предусмотреть локальное зеркало обновлений, из которого можно было бы периодически обновлять антивирусные базы, не скачивая каждый раз свежий iso-образ.
3. Изменить кое-какие настройки антивируса по-умолчанию. Например, проверка архивов подчас занимает много времени, а каждый раз снимать перед сканом одну и ту же галку в настройках утомительно.
4. Максимально автоматизировать выполнение перечисленных выше пунктов, сведя количество необходимых к нажатию кнопок до минимума.

Летом прошлого года прошла информация, что Avast выпустит версию под Android.

Признаюсь, я несколько скептически относился к этой информации. Т.к. был опыт установки антивирусов под Linux Desktop системы для защиты именно самих этих систем. И так и не увидел от этого всего толка. Поведенческого анализатора не было. Тестируемые руткиты свободно устанавливались в систему и т.д. В общем, одно разочарование. Но моя врождённая любознательность не давали мне покоя и я решился установить сие чудо на свой планшетник. Результат меня порадовал. Особенно учитывая, что приложение бесплатное. А самое интересное доступно для владельцев root-доступа к своим android-устройствам.

Вот как выглядит главное окно программы.

Куда-то с хабры пропали ссылки. Их запретили, да? Значит я сейчас сделаю что-то нехорошее…

Лаборатория Касперского просит помощи сообщества:
«Мы хотели бы обратиться к сообществу разработчиков и попросить любого, кто знает средства разработки, языки или компиляторы, генерирующие подобный Фреймворку код, связаться с нами или оставить комментарий к посту.»

UPDATE: Ребята, мопед не мой! Нет смысла присылать догадки мне в письма — я даже передать не смогу…