Антивирусная защита *

Сегодня скинули код, дропающий на машину штатный вирус «отправьте SMS для разблокировки». Предысторию и методику чистки изложил force

Попробовал расковырять. Взял код, отформатировал, стал дебагать… Хм, интересно… В коде идет вызов (после приведения к читабельному виду)

window['eval'](var2);


А вот в var2 — бинарные данные. Ух ты… Но ведь eval не может выполнять бинарные данные!!!

Доброго времени суток, Хаброчитатель!

Не так давно я писал пост об рассылке спама (и не я один предупреждения писал). Казалось, вроде бы, история закончилась… Однако, нет! И вновь ко мне пришло письмо подобного характера.

Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: «вымогатели». Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки. Лечение вышло не совсем тривиальным, и я подумал, что возможно эта история сбережёт кому-нибудь немного нервных клеток. Я постарался приводить ссылки на все сайты и утилиты, которые понадобились в ходе лечения.

Как-то на днях мне пришло одно письмо, с предложением работы. Вроде ничего плохого — полу сформулированное предложение работы, тема нормальная, вроде подписались, в общем, ничего подозрительного — но это спам… и, как оказалось, не один я спешу предупредить. На weblancer.net и free-lance.ru уже отреагировали.

Всем привет!

Сейчас проходит конкурс от Касперского. Конкурс рассчитан больше на людей с творческими способностями — дизайнеров, фотографов. Думаю информация о конкурсе будет интересна тем, кто недавно приобрёл KIS 2010. Выиграть можно ноут Sony Vaio (какой — не сказано), видеокамеру Sony HDR-XR200E и ноутбук Asus Eee PC. Есть главный приз — поездка в Швейцарию.

Подробнее о конкурсе тут: safezone.su/rules/ (обязательно со слешем на конце). Под катом есть примеры работ. На мой взгляд не самые лучшие, поэтому выиграть можно.

P.S.: Прошу не считать пост рекламным, сам участвую, думаю, другим может быть интересно.

Вышла новая версия virustotal uploader, утилиты для быстрой загрузки файлов на virustotal.com, для проверки на вирусы.

Возможно, кому-то будет интересно узнать, чем закончилась моя история с NOD32.

Напомню, что после обсуждений, технических и других аспектов взаимодействия с NOD32, появился комментарий [предположительно] Павла Потасуева, Директора по IT российского представительства ESET:

Странно, что такой курьёз прошёл мимо Хабрахабра…

Помните, как на сайте Apple рекламировали Windows 7? Сегодня же (10 декабря) произошёл случай поинтереснее: на сайте одного производителя антивирусных решений продавались продукты других производителей! То бишь конкурентов


(кликните по картинке, чтобы увидеть скриншот всей страницы)

Я занимаюсь разработкой программного обеспечения для скоростной и автоматизированной торговли ценными бумагами и производными инструментами на Российском Фондовом рынке, в основном для физлиц. Проект веду чуть больше полугода и распространяю продукт свободно. До недавнего времени всё шло как обычно — расширяю функционал, вылавливаю баги, добавляю новые, вылавливаю, расширяю-добавляю, вобщем, обычный жизненный цикл проекта и так шло до тех пор, пока я не столкнулся с неожиданной проблемой, процесс решения которой мне показался, как минимум, удивительным, и достойным сей публикации.

Вчера, 19.11.2009, зайдя на главную страницу сайта ESET NOD32 Russia (ахтунг! не уверен — не ходи!), был неприятно удивлен: неожиданно открылся какой-то левый pdf-файл, после чего Comodo Firewall сообщил, что браузер Opera пытается запустить файл wJQs.exe

UPD: Перенес в блог вирусы (и антивирусы)
UPD2: вроде как пофиксили

В конце июля этого года в открытый доступ попали данные аккаунтов нескольких тысяч пользователей социальной сети. О чем писалось на хабре.
Сегодня я наткнулся на новую базу.

В этот раз примерно 13 тысяч аккаунтов.

Напомню, что чаще всего взлом аккаунтов в социальных сетях происходит следующим образом — вирус модифицирует файл hosts (расположен по адресу C:\WINDOWS\system32\drivers\etc\) таким образом, что при попытке пользователя зайти в любимую социальную сеть браузер его компьютера открывает сайт-двойник; в результате адрес эл. почты и пароль сразу же после введения на поддельном ресурсе добавляются в базу данных ворованных аккаунтов…

UPD: Файл с паролями я убрал, по просьбам читателей.
Вот ссылка на файл только с логинами.
Зеркало
Еще
и еще
и еще рапида
Проверяйте себя и друзей.

И не заходите по неизвестным ссылкам, не качайте неизвеcтные файлы и учитесь лучше на чужих ошибках, чем на своих

«Лаборатория Касперского» вчера представила систему Krab Krawler, которая в реальном режиме времени сканирует все публикующиеся твиты на предмет вредоносных ссылок.

На презентации новой системы представители «Лаборатории» обнародовали статистику по твиттеру. Оказывается, ссылки присутствуют в 26% всех твитов. Сейчас программа сканирует около 500 000 ссылок в сутки и обнаруживает от 100 до 1000 попыток атак. Все они заносятся в базу данных на сервере, которая обновляется каждые 2-12 часов.

Интересно, что Twitter использует и собственную систему фильтрации (вроде бы единую с той, что использует Google), но представители «Лаборатории Касперского» уверяют, что их разработка гораздо эффективнее и детектирует 95% атак.

Защита «от твиттера» — модная фишка среди антивирусных компаний. Недавно аналогичный фильтр запустила компания Trend Micro. Кроме платных решений, существует и бесплатный плагин для браузера SecureTwitter.

Будучи пользователем этого антивируса-сканера и регулярно его обновляя обратил внимание, что привычная кнопка «скачать» исчезла и получить антивирус стало несколько сложнее. Закачка началась после прочтения соглашения. Присмотревшись обнаружил, что курилка-то стал бесплатным только для лечения домашнего компьютера! А если Вы хотите полечить
* Ваш офисный компьютер
* Компьютеры Ваших сослуживцев
* Корпоративный сервер
* Если Вы оказываете услуги по лечению компьютеров другим лицам.
то следует его прикупить.
В противном случае

И адрес сайта как-то уже не звучит www.freedrweb.com/cureit

Компания «Доктор Веб» сообщила о начале бета-тестирования антивируса Dr.Web для Symbian. Созданное на основе антивирусного сканера Dr.Web, это приложение обеспечивает защиту мобильных устройств, работающих под управлением операционной системы Symbian, от вирусов и спама.
Dr.Web для Symbian может либо провести полное антивирусное сканирование файловой системы, либо «обследовать» файлы и папки, указанные пользователем (в том числе и на съемных картах памяти). С обнаруженными опасными объектами разговор короткий – удаление или карантин. По окончании своей работы программа предоставляет пользователю детализированный отчет.

Как ни странно, но первая попытка Microsoft выпустить антивирусное ПО оказалась вполне успешной. Независимая лаборатория AV-Test.org проверила бесплатный антивирус Security Essentials на тестовых вирусных базах и получила довольно высокий результат.

База WoldList из 3732 последних вирусов и угроз: результат 100% как в ручном, так и в активном режиме.

Общая база AV-Test.org из 545 034 вирусов, червей троянов и проч.: результат 98,44%.

На специальной базе из шпионского и рекламного ПО программа показала результат 90,95%.

Правда, софт от Microsoft проявил себя абсолютным нулём в части обнаружения динамически модифицируемых вирусов. Похоже, он просто не умеет искать такой код.

По скорости сканирования Security Essentials показал средний результат, сравнимый с остальными антивирусами.

Компания Microsoft официально подтвердила, что финальный релиз бесплатного антивируса Security Essentials состоится сегодня утром, 29 сентября, по тихоокеанскому времени, то есть примерно в 19.00-21.00 МСК. В этот момент дистрибутив размером 4,7 МБ под Windows XP, Vista и Windows 7 будет выложен на официальном сайте (ссылка выше), в данный момент там стоит заглушка для бета-тестеров.

Разработка антивируса заняла почти год, а ограниченное бета-тестирование стартовало в июне. Количество скачиваний программы с официального сайта было ограничено 75 000, но антивирус разошёлся через торренты.

Бесплатный антивирус должен стать заменой платному сервису Windows Live OneCare, закрытому в июне 2009 года.

Производители коммерческих антивирусных программ уже заявили, что не боятся конкуренции со стороны Microsoft. В качестве примера они приводят бесплатную программу Windows Defender для поиска шпионского ПО, которая так и не стала популярной.

Некоторые эксперты вообще сомневаются, что компания Microsoft способна создать хоть какой-нибудь удачный продукт в области компьютерной безопасности, здесь у неё вообще нет опыта.

История произошла не со мной, но при мне — в буквальном смысле, в соседней комнате. Публикуется с позволения виновника/главного участника/а также главного пострадавшего.

Ситуация проста до не хочу. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven. AVG Internet Security смог только лишь промямлить: «Сударь, в системном процессе троян!» Точнее, два трояна: Win32/Virut и Win32/Heur. Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe. При следующем запуске, система отказывается стартовать explorer, как результат — отсутствующий рабочий стол.

Здравствуйте.

Я являюсь администратором корпоративной почтовой системы, в которой, помимо нашей, хранится ещё почта некоторых наших клиентов. В один отвратительный день некоторые пользователи начали начали жаловаться мне, что вложения к ним приходят битые.

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Некоторые подробности и обсуждение:
www.delphikingdom.com/asp/answer.asp?IDAnswer=70912
forum.qip.ru/showthread.php?t=36203
forum.qip.ru/showthread.php?t=35939

UPD: этот топик не призван поливать грязью QIP, зараженным оказался и AIMP, я подозреваю что и многие другие программы. Для тех, кому лень ходить по ссылкам — разработчики QIP пересобрали сборку.