Антивирусная защита *

ЖЖ-юзер werewolf_hans протестировал 13 антивирусов. В течение полугода он попеременно натравливал их на свою коллекцию вирусни, и рассказывал о всех нюансах работы в своём блоге.
Тем, кому не интересны подробности: из платных антивирусов лучше всего себя показали Kaspersky Antivirus 2009, и F-Secure Anti-virus 2009, из бесплатных — Avast! Antivirus 4.8 и Avira Antivir.

Надоело. Вылетает второй раз за день вылетает окошко отладчика с ошибкой в rundl132.dll. Хочется вылечить заразу — устала руками файлы каждый раз удалять и реестр чистить. Помучилась, помучилась, и нашла чудесное решение от Панды. Как и любой бесплатный антивирус, Панда лечит не всё, но, что замечательно, экспортирует все найденные проблемы в текстовый файл. Остаётся лишь применить простенький скрипт, например, под Cygwin: cut -b 114- /c/Documents\ and\ Settings/masik/My\ Documents/ActiveScan.txt | sed -s 's/^/rm "/; s/$/"/' | sh, и компьютер чист! Совет: сначала лучше написать echo rm вместо rm дабы случайно не удалить чего лишнего.

Очень забавный рисунок моего хорошего друга и талантливого художника Nikita Gutorov. Все права принадлежат правообладателям и т.п. и т.д.

Вчера на работе поспорили с админами, какой антивирус лучше, Eset или Касперский. От слов решили перейти к делу, результатами небольшого тест-драйва и хочу поделиться с хабравчанами.

Сравнивались KIS 2009 и Eset Smart Security 3.0.551.0.
Стоит учитывать, что я не профессиональный тестер, поэтому смотрел на всякие понятные мне показатели:

1. Скорость загрузки
2. Скорость проверки одной и той же инфы на флешке
3. Скорость проверки одной и той же инфы на винте
4. Работа с архивами
5. Влияние на скорость инета
6. Влияние на загрузку ЦП
7. Ну и, собственно, поиск вирья

Результаты теста под катом

Жизнь компьютера идет своим чередом, но в один прекрасный момент комп перезагружается, а потом на рабочем столе появляется надпись «У вас вирусы, антивирус качать тут». Кто-то скачивает и ставит, кто-то сносит винду, кому-то везет и его антивирус ловит заразу… А я вам попробую рассказать как решить проблему самому и зачем это нужно.

Создатели вирусов в ужасе, антивирусов в шоке. Уже от одной только коробки. В Китае вышел антивирус и файерволл под маркой Hello Kitty – популярного игрушечного белого котенка с красным бантиком из Японии.

Для начала — пара вводных замечаний. Замечание первое: в связи с заштопанной правой рукой печатать мне неудобно, посему опечатки могут быть. Замечание второе: для кого-то все ниженаписанное может не быть в новинку, но что уж поделать! Зато остальным, надеюсь, будет интересно. Поехали!

Многие пользователи считают файрволлы и фильтры траффика надежной защитой от вирусов. В общем, настроить эти средства можно так, чтобы существенно усложнить жизнь вирусам, но это будет довольно непростой проблемой. О паре моментов, с которыми придется столкнуться я и расскажу. Под катом, как всегда, много технических подробностей, кода и местами бессвязных мыслей.

Вчера я разбирал «нецензурный» троян (http://vilgeforce.habrahabr.ru/blog/44130.html), а сегодня разделываю его потомка — ftp34.dll. Эта тваринка, кстати, куда как интереснее подавляющего большинства троянов. Хотя бы тем, что ворует информацию не с диска, а прямо из сетевого траффика. Как? Смотрите под кат.

В общем, с этим трояном все было понятно с самого начала: что-то он из сети качает. Но в силу некоторых причин (одна из них — детект каспером как P2P-Worm.Win32.Socks.s) я решил его «разобрать». Под катом — технические подробности вскрытия трояна. Внимание, наличествуют не совсем цензурные слова и много технических подробностей!

Начало тут: vilgeforce.habrahabr.ru/blog/43746.html

Так или иначе, на компьютере жертвы оказывался файл WinNt32.dll, который загружался в память и тем самым его код исполнялся. Этот файл качал из сети два шифрованных файла, один из которых запускал, а второй инжектил в svchost (назовем его Injected).

Анализ первого файла (Dropper) показал следующее. Первые стадии его работы идентичны таковым для WinNt32.dll — Sysenter, расшифровка, загрузка в память и исполнение. Только в данном случае зашифровано было 3 файла. Первый — непосредственно полезная нагрузка, а второй и третий использовались полезной нагрузкой. В чем же заключается полезная нагрузка? Функционал просто и незамысловатый — скинуть два уже расшифрованных ранее файла на диск, один из них — под именем WinNt32.dll, а второй под случайным именем с расширением Sys. Прописать оба файла в реестре, причем *.sys прописывается сервисом. После чего запустить соответсвующий сервис и вызвать одну из функций DLL. Функционал драйвера я не исследовал — сложное это дело, увы. А вот дропнутая DLL — та самая, с которой все и начиналось! То есть Downloader качает Dropper, а Dropper сохраняет и запускает Downloader. Такой вот «замкнутый круг».

Файл, который инжектится в svchost (Injected) не зашифрован, в отличии от Downloader'а и Dropper'а и даже не разбираясь в его работе, только по текстовым строкам, можно понять что он работает с почтой. Скорее всего, рассылает спам. В файле прописано несколько почтовых серверов — и отечественных и зарубежных, и даже сервер google.
Таким образом, спам-рассылка, скорее всего, была предназначена для создания армии спамботов, и пострадать от нее могли не только пользователи Одноклассников, но и все остальные.

Спасибо, вам, о Хабралюди, за небольшую прибавку к карме. Теперь я наконец-то смогу написать про вчерашние события на Одноклассниках с техническими подробностями.

Троян, без ведома пользователей подменяющий рекламные объявления (тексты и ссылки) Google, обнаружен специалистами BitDefender. Названная Trojan.Qhost.WU, эта троянская программа изменяет на зараженном компьютере Hosts-файл с доменными именами и IP-адресами, которые, соответственно, и передаются серверам доменных имен для загрузки нежелательного контента.

Опасность, которую несет в себе этот троян, двойная. Во-первых, проблемы могут возникнуть у держателей рекламных площадок, так как Trojan.Qhost.WU просто-напросто переадресует пользователей на другие сайты. Лишая, тем самым, рекламодателей потенциального заработка. Ну и, во-вторых, вирус может быть опасен и для пользователей, так как сайты, на которые ведут «поддельные» рекламные объявления могут с большой долей вероятности содержать вредоносный код.

via 3DNews

Исследователи из F-Secure сообщают, что киберпреступники уменьшают размеры своих ботнетов, дабы усложнить компаниям, специализирующимся на ПО для защиты информационной безопасности, отслеживать и препятствовать работе ботнетов.

Компьютеры, заражённые вирусом, становятся т.н. «зомби» в ботнете — сети, которая используется для рассылки спама и для проведения атак на другие машины. Армией зомбированных машин можно управлять удалённо, и, как правило, их создатели обычно пытаются создать наиболее большой ботнет для проведения DoS-атак на заказ.

Однако исследователи из антивирусной компании F-Secure заметили, что крупные ботнеты разбиваются на более мелкие, так как создание крупных ботнетов не увеличивает прибыль киберпреступников. Сейчас, конечно, продолжают «работать» старые крупные ботнеты, но вирусописатели, создающие ботнеты в данный момент, не пытаются сделать их крупными, так как один крупный ботнет не даёт больше денег, чем кучка маленьких.

Кроме того киберпреступники просто-напросто стали опасаться того, что в один момент центральный управляющий сервер такого крупного ботнета упадёт и вся сеть потеряется.

Ещё одним фактором, выделенным F-Secure, является то, что вирусописатели стали ленивее (других кодеров это тоже касается?) и не пытаются создавать нестандартные, «неуловимые» антивирусным ПО вирусы.

Ошибка в обработке изображений, обнаруженная в кроссплатформенном пакете OpenOffice, опасна даже пользователям систем, традиционно считающихся защищенными — Linux и Mac. Windows, разумеется, тоже.

Ни один антивирус из арсенала virustotal.com не обнаружил EICAR в тестовом файле.

По сообщению лаборатории Касперского, появился вирус, способный работать как в Windows, так и в Linux. Он имеет двойное название — Virus.Linux.Bi.a/ Virus.Win32.Bi.a. Код написан на ассемблере и способен заражать бинарные файлы формата ELF и PE. По словам представителей лаборатории, вирус пока безобиден и является лишь концептуальной моделью, подтверждающей возможность универсальной «заразы», но в скором времени могут появиться и менее безобидные вариации. Впрочем, следует отметить, что способность вируса заражать как Windows, так и Linux-машины ещё не означает, что и повреждения будут одинаковыми. Соблюдения простейших правил безопасности (не работать под root'ом, не запускать неизвестные исполняемые файлы, держать в системных процессах активный антивирусный демон и т.д.) позволит пользователям Linux-систем гораздо спокойнее переносить инфицирование.

Подробности здесь.

via LinuxCenter