Антивирусная защита *

Ищу совета и слов поддержки. Относительно давно использую нашумевшую Windows 7. Ни в коем случае не хочу явиться причиной возникновения холиваров, но «семерка» мне нравится. Больше, чем XP и уж тем более, чем Vista. Я люблю *nix системы, люблю MacOS, но так получилось, что возникшая проблема имеет место именно на продуктах компании Microsoft.

Началось это пару месяцев назад, а сегодня найдена причина.

Облачная обработка данных завоёвывает всё большую популярность.
Локально работающий антивирус повышает нагрузку на аппаратные ресурсы, вследствие чего снижается производительность компьютера. Антивирусная компания Panda Security запустила бета-версию облачного антивируса — Panda Cloud Antivirus.
На клиентской стороне устанавливается клиент, а обнаружение вредоносного ПО будет производиться в «антивирусном облаке» (которое разработчики называют «Collective Intelligence», коллективный разум»).

По адресу www.cloudantivirus.com можно скачать бесплатный клиент, который и будет общаться с «антивирусным облаком». Программа занимает 50 Мб на жёстком диске и около 17 Мб в оперативной памяти.

При обсуждении покупки антивирусного ПО возникла у меня идея и предложение к создателям этого самого ПО:

Организовать продажу подписки на программный продукт. То есть — имеем некий аккаунт с платным продлением работоспособности каждой копии продукта (скажем, 100р в месяц), к которому привязан антивирус (или другое ПО, зависящее от обновлений). Оплатил — работает, не оплатил — не работает. Авторизация на сервере при каждом обновлении, само обновление только при авторизации с оплаченным аккаунтом. Каждая установка ПО генерирует уникальный ID, аккаунты оплачиваются на определенное количество установок. Технически все это вполне реализуемо.

Почему мне кажется, что это принесет доход? Что проще — заплатить сейчас 1000р, или 100р каждый месяц? При корпоративном использовании с n лицензий — несколько десятков тысяч сейчас, или по паре в месяц?

Лично мне удобнее заплатить 100 в месяц, чем 1000 сразу за год. И пускай 100*12 будет больше этой самой тысячи — мне будет удобнее (: И не нужно будет возиться с установкой новых ключей, покупке их раз в год при продлении и ручной установки на вышеприведенные n компьютеров.

UPD: cудя по комментариям, многие интернет-провайдеры предоставляют возможность своим пользователям покупать антивирусное ПО именно этим способом. Увы, не все. Всем спасибо, как я и думал, что-то принципиально новое я не придумал (:

ЖЖ-юзер werewolf_hans протестировал 13 антивирусов. В течение полугода он попеременно натравливал их на свою коллекцию вирусни, и рассказывал о всех нюансах работы в своём блоге.
Тем, кому не интересны подробности: из платных антивирусов лучше всего себя показали Kaspersky Antivirus 2009, и F-Secure Anti-virus 2009, из бесплатных — Avast! Antivirus 4.8 и Avira Antivir.

Надоело. Вылетает второй раз за день вылетает окошко отладчика с ошибкой в rundl132.dll. Хочется вылечить заразу — устала руками файлы каждый раз удалять и реестр чистить. Помучилась, помучилась, и нашла чудесное решение от Панды. Как и любой бесплатный антивирус, Панда лечит не всё, но, что замечательно, экспортирует все найденные проблемы в текстовый файл. Остаётся лишь применить простенький скрипт, например, под Cygwin: cut -b 114- /c/Documents\ and\ Settings/masik/My\ Documents/ActiveScan.txt | sed -s 's/^/rm "/; s/$/"/' | sh, и компьютер чист! Совет: сначала лучше написать echo rm вместо rm дабы случайно не удалить чего лишнего.

Очень забавный рисунок моего хорошего друга и талантливого художника Nikita Gutorov. Все права принадлежат правообладателям и т.п. и т.д.

Доброго дня всем.
В сегодняшнем выпуске много технических подробностей. Так что уж извините, если их слишком много :)

Письмо

Итак, начинаем. На входе у нас письмо с текстом «Journalist shot in Georgia! See attached video. Password is 123» и с приложенным файлом «Georgia.zip».

Для более или менее полного анализа нам понадобятся:
— Самый Лучший дизассемблер в мире IDA
— Неплохой Отладчик Windbg
— python 2.5 (строго говоря, подойдет любой, просто у меня 2.5)
— Visual Studio какая-нибудь и Microsoft SDK, чтобы собрать небольшую программу на с++.
— упаковщик программ upx
— ну и чего-то еще по мелочи.

Распаковываем присланный нам файл, и видим, что наши подозрения оправданы: видео там и рядом не ночевало.

joined.exe (md5:607af96b03addadf28cf9280701df191)
Dr.Web: Trojan.Packed.151
Kaspersky: Trojan-Downloader.Win32.Agent.abqe

Вчера на работе поспорили с админами, какой антивирус лучше, Eset или Касперский. От слов решили перейти к делу, результатами небольшого тест-драйва и хочу поделиться с хабравчанами.

Сравнивались KIS 2009 и Eset Smart Security 3.0.551.0.
Стоит учитывать, что я не профессиональный тестер, поэтому смотрел на всякие понятные мне показатели:

1. Скорость загрузки
2. Скорость проверки одной и той же инфы на флешке
3. Скорость проверки одной и той же инфы на винте
4. Работа с архивами
5. Влияние на скорость инета
6. Влияние на загрузку ЦП
7. Ну и, собственно, поиск вирья

Результаты теста под катом

Жизнь компьютера идет своим чередом, но в один прекрасный момент комп перезагружается, а потом на рабочем столе появляется надпись «У вас вирусы, антивирус качать тут». Кто-то скачивает и ставит, кто-то сносит винду, кому-то везет и его антивирус ловит заразу… А я вам попробую рассказать как решить проблему самому и зачем это нужно.

Создатели вирусов в ужасе, антивирусов в шоке. Уже от одной только коробки. В Китае вышел антивирус и файерволл под маркой Hello Kitty – популярного игрушечного белого котенка с красным бантиком из Японии.

Для начала — пара вводных замечаний. Замечание первое: в связи с заштопанной правой рукой печатать мне неудобно, посему опечатки могут быть. Замечание второе: для кого-то все ниженаписанное может не быть в новинку, но что уж поделать! Зато остальным, надеюсь, будет интересно. Поехали!

Многие пользователи считают файрволлы и фильтры траффика надежной защитой от вирусов. В общем, настроить эти средства можно так, чтобы существенно усложнить жизнь вирусам, но это будет довольно непростой проблемой. О паре моментов, с которыми придется столкнуться я и расскажу. Под катом, как всегда, много технических подробностей, кода и местами бессвязных мыслей.

В заметке описывается драйвер, который загружается вирусом, рассмотренным в предыдущей части. Драйвер работает на уровне ядра операционной системы, и обеспечивает «привилегированное» прикрытие основной функциональности трояна, которая работает в режиме пользователя (авторское название компоненты — winnt32.dll. Подробнее о ней см. habrahabr.ru/blog/virus/43787.html).

Краткое описание.
Программа представляет собой nt-драйвер (так же известны, как legacy-драйвера, то есть не связанные ни с каким физическим устройством). Является руткитом: используя механизмы ядра ОС, лишает другие программы доступа к некоторым файлам и ключам реестра.
Детектируется касперским как Trojan-Dropper.Win32.Agent.rek. Размер 27548 байтов.

Лирическое отсутпление. «Обычный» руткит может использовать недостатки в реализации ОС для сокрытия объектов: файлов, сетевых соединений, и так далее вплоть до секторов жесткого диска. Для этого в простейшем случае делается перехват системного вызова. Системный вызов по сути — это вызов функции, а вызов функции — это передача управления по указанному адресу. Руткит записывает по этому адресу свой код, который трансформирует результат оригинальной функции. К примеру, проверяет, пытается ли кто-то открывать файл с телом вируса, и возвращает какой-нибудь код ошибки, например «доступ заперещен».

Руткит перехватывает обращения с реестру и файлам, используя легальные методы самой ОС.

Вчера я разбирал «нецензурный» троян (http://vilgeforce.habrahabr.ru/blog/44130.html), а сегодня разделываю его потомка — ftp34.dll. Эта тваринка, кстати, куда как интереснее подавляющего большинства троянов. Хотя бы тем, что ворует информацию не с диска, а прямо из сетевого траффика. Как? Смотрите под кат.

В общем, с этим трояном все было понятно с самого начала: что-то он из сети качает. Но в силу некоторых причин (одна из них — детект каспером как P2P-Worm.Win32.Socks.s) я решил его «разобрать». Под катом — технические подробности вскрытия трояна. Внимание, наличествуют не совсем цензурные слова и много технических подробностей!

Начало тут: vilgeforce.habrahabr.ru/blog/43746.html

Так или иначе, на компьютере жертвы оказывался файл WinNt32.dll, который загружался в память и тем самым его код исполнялся. Этот файл качал из сети два шифрованных файла, один из которых запускал, а второй инжектил в svchost (назовем его Injected).

Анализ первого файла (Dropper) показал следующее. Первые стадии его работы идентичны таковым для WinNt32.dll — Sysenter, расшифровка, загрузка в память и исполнение. Только в данном случае зашифровано было 3 файла. Первый — непосредственно полезная нагрузка, а второй и третий использовались полезной нагрузкой. В чем же заключается полезная нагрузка? Функционал просто и незамысловатый — скинуть два уже расшифрованных ранее файла на диск, один из них — под именем WinNt32.dll, а второй под случайным именем с расширением Sys. Прописать оба файла в реестре, причем *.sys прописывается сервисом. После чего запустить соответсвующий сервис и вызвать одну из функций DLL. Функционал драйвера я не исследовал — сложное это дело, увы. А вот дропнутая DLL — та самая, с которой все и начиналось! То есть Downloader качает Dropper, а Dropper сохраняет и запускает Downloader. Такой вот «замкнутый круг».

Файл, который инжектится в svchost (Injected) не зашифрован, в отличии от Downloader'а и Dropper'а и даже не разбираясь в его работе, только по текстовым строкам, можно понять что он работает с почтой. Скорее всего, рассылает спам. В файле прописано несколько почтовых серверов — и отечественных и зарубежных, и даже сервер google.
Таким образом, спам-рассылка, скорее всего, была предназначена для создания армии спамботов, и пострадать от нее могли не только пользователи Одноклассников, но и все остальные.

Спасибо, вам, о Хабралюди, за небольшую прибавку к карме. Теперь я наконец-то смогу написать про вчерашние события на Одноклассниках с техническими подробностями.

Троян, без ведома пользователей подменяющий рекламные объявления (тексты и ссылки) Google, обнаружен специалистами BitDefender. Названная Trojan.Qhost.WU, эта троянская программа изменяет на зараженном компьютере Hosts-файл с доменными именами и IP-адресами, которые, соответственно, и передаются серверам доменных имен для загрузки нежелательного контента.

Опасность, которую несет в себе этот троян, двойная. Во-первых, проблемы могут возникнуть у держателей рекламных площадок, так как Trojan.Qhost.WU просто-напросто переадресует пользователей на другие сайты. Лишая, тем самым, рекламодателей потенциального заработка. Ну и, во-вторых, вирус может быть опасен и для пользователей, так как сайты, на которые ведут «поддельные» рекламные объявления могут с большой долей вероятности содержать вредоносный код.

via 3DNews

Исследователи из F-Secure сообщают, что киберпреступники уменьшают размеры своих ботнетов, дабы усложнить компаниям, специализирующимся на ПО для защиты информационной безопасности, отслеживать и препятствовать работе ботнетов.

Компьютеры, заражённые вирусом, становятся т.н. «зомби» в ботнете — сети, которая используется для рассылки спама и для проведения атак на другие машины. Армией зомбированных машин можно управлять удалённо, и, как правило, их создатели обычно пытаются создать наиболее большой ботнет для проведения DoS-атак на заказ.

Однако исследователи из антивирусной компании F-Secure заметили, что крупные ботнеты разбиваются на более мелкие, так как создание крупных ботнетов не увеличивает прибыль киберпреступников. Сейчас, конечно, продолжают «работать» старые крупные ботнеты, но вирусописатели, создающие ботнеты в данный момент, не пытаются сделать их крупными, так как один крупный ботнет не даёт больше денег, чем кучка маленьких.

Кроме того киберпреступники просто-напросто стали опасаться того, что в один момент центральный управляющий сервер такого крупного ботнета упадёт и вся сеть потеряется.

Ещё одним фактором, выделенным F-Secure, является то, что вирусописатели стали ленивее (других кодеров это тоже касается?) и не пытаются создавать нестандартные, «неуловимые» антивирусным ПО вирусы.

Ошибка в обработке изображений, обнаруженная в кроссплатформенном пакете OpenOffice, опасна даже пользователям систем, традиционно считающихся защищенными — Linux и Mac. Windows, разумеется, тоже.