Оперативность работы антивирусных компаний или история одного вирус-репорта

    Не так далеко как вчера
    Прихожу с обеденного перерыва, а наш технолог плачет на взрыд.
    Михалыч, тута у меня чето виндоус завис.

    Пришел и возрадовался — Майкрософт уличила её (технолога) в просмотре гей-порно и требует выкуп на вебмани.

    Так как избавился я от этой напасти быстро то решил для приличия проверить бесплатными антивирусами которые были под рукой а заодно и за сабмитить новый экземпляр.

    Короткий «конспект» по проделанной работе под катом


    Избавление


    Ну для начала мы попробуем избавиться от этого гей-порно.
    • Перегружаемся в Safemode. Оно — все еще висит.
    • Быстрым движением руки вызываю Диспетчер задач (почему-то еще не был заблокирован, и слава Богу) и резко жмем удалить текущую задачу — да.
    • Удалось. Теперь запускаем msconfig и забираем из автозапуска 0.07209009531421795.exe
    • Перегружаемся во 2-й раз — опять блокируемся (видать еще где-то сидит зараза). На этот раз уже не удалось через диспетчер задач удалить.
    • Перегружаемся в 3-й раз. Но тепер Жмем Ctrl+Alt+Del сразу после появления сообщения о том что «Сейчас виндовс работает в безопасном режиме» и запускаем проводник.
    • Нахожу тот файл и переименовываю его.
    • Перегрузка. Вуаля

    Одним словом вложился в 10мин.
    К слову сказать на той система стоит Avast 4.8 Home Edition. Особых надежд конечно на него не питал но всё же набросил его на тот файлик. Как и ожидалось — ничего он не показал.
    Тут уже включился азарт и решил проверить всеми доступными антивирусами, а также засабмитить новый семпл.
    Но обо всем по порядку

    Avast


    Так как уже было выяснено что в авасте этот вирус не числится, то начал отправлять им копию в лабораторию. К сожалению на сайте нет формы для автоматической отправки на анализ и онлайн — сканера.
    Порывшись по гуглу, обнаружил, что семплы отправляют на virus@avast.com запароленным архивом с паролем вложенным в тексте.

    Dr.Web


    Dr.Web — очень порадовал во всех планах. Хоть его CureIt и позже онлайн-сканер не обнаружил угрозы, но зато легко дал добавить семпл. Все было вполне логично и быстро

    Касперский


    Огорчил. Любые поиски гугла по фразе «Касперский online scanner» приводили на сайт www.kaspersky.ru/virusscanner где его небыло. Был только набор утилит, которые предлагалось закачать, установить и потом что-то уже с ними делать.
    Благо, сразу нашлась онлайн-форма для отправки семпла в лабораторию, что и было немедленно сделано.

    Результаты


    Результаты тоже немножко удивили хотя если проанализировать все выше изложенное, то они были закономерны.
    • Avast — письмо отправлено с подтверждением о доставке. Но все тихо. Ответа не пришло. но через 24 часа с новой базов вирус определяется как Win32:Rootkit-gen[Rtk]
    • Dr.Web — сразу же после заполнения и отправки формы было получено письмо с тем что Файл находится на обработке, а через ~4часа уведомление о том что семпл был добавлен в базу под названием Trojan.Winlock.3256
    • Kaspersky — после сабмита пришло письмо о том что файл находится на обработке и больше ничего.
      По прошествии 24 часов попробовал на Касперкий сервер с базами от 17.11.2011 0:20:00 — определяет его как обнаружено: троянская программа Trojan-Ransom.Win32.Gimemo.dfe

    Выводы, или чего бы хотелось


    Как видим, все испытуемые справились с заданием. Но самым оперативным и информативным оказался Dr.Web. После него — неучаствовавший в забеге — Microsoft Security Essentials которому я засабмитил файл уже вечером поле работы, а тот на удивление среагировал на протяжении ~30мин-1час. И добавил в семпл в свои базы о чём и уведомил меня в своем письме.
    3-е место занял Касперский хотя он и предупреждал меня на форме что если хотите оперативности то отправьте через личный кабинет. Но все-же я думаю смог бы снизойти до того чтобы отправить мне уведомление по почте о том что вирус добавлен.
    4-е место аваст — ни онлайн-формы для сабмита, ни отчета о доставке вируса, хорошо хоть реакция не более 24часов.
    Чего бы хотелось, так это простой и эффективный сервис максимум в 3 щелчка и без квестов:
    • Главный сайт
    • Пункт: Онлайн сканнер
    • Пункт: Добавить новый

    P.S. Адреса для отправки новых вирусов:
    Dr.Web: vms.drweb.com/online — сразу после онлайн проверки пункт «Добавить новый»
    Kaspersky Antivirus: support.kaspersky.ru/virlab/helpdesk.html
    Avast: virus@avast.com — запароленный архив с паролем в тексте письма.
    MSSE: www.microsoft.com/security/portal/Submission/Submit.aspx
    UPD:Адрес онлсан сканера Avast: onlinescan.avast.com
    Поделиться публикацией

    Комментарии 47

      +32
      VirusTotal

      Проверяет по базам более 30 АВ и отсылает им семплы.
        –1
        Спасибо незнал, шас засабмитил, очень долго грузил шас проверяет, не все еще его знают.
        Avast — выдал неверную информацию, у меня на компе уже определяет на сайте — еще нет.
          +2
          потом отпишите о результатах собмита, даже интересно.
            0
            На сайте пишет версию баз, скорее всего она просто немного «отстает» от вашей.
              0
            0
            семпл был добавлен в базу под названием Trojan.Winlock.3256

            Странно…

            Trojan.Winlock.3256 — Добавлен в вирусную базу Dr.Web: 2011-06-14
            vms.drweb.com/virus/?i=737176
              0
              Возможно один из его екземпляров с измененными некоторыми строчками поэтому и не определялся
              –3
              Посмотрел на VirusTotal. Он какраз деляет одно из 2-х хороших дел
              Проверяет файл множеством антивирусов. К стати только 28% антивирусов обнаружило мой экземпляр.
              Второй пункт — возможность быстрого добавление новых семплов которое я здесь не обнаружил. Могу только предположить что этот сервис автоматичесви высылает семплы всем во время проверки
                +1
                www.virustotal.com/terms.html

                When you submit a file to VirusTotal for scanning, we may store it and share it with the anti-malware and security industry (normally the companies that participate in VirusTotal receive the samples that their engines do not detect and are catalogued as malware by at least one other engine).
                  0
                  Ключевое слово здесь: «we may store....» мы можем (но не обязанны)
                  Ну что ж будм ждать и проверять
                    0
                    Они довольно плотно сотрудничают в антивирусными компаниями, поэтому тут скорее имеется ввиду не «мы можем (но не обязанны)», а все-таки что-то типа «мы можем отправить ваш файл еще кому-то (антивирусным компаниям) и вы на это согласны, если шлете его нам».
                +7
                Сейчас меня закидают камнями, но все же спрошу.
                Что делает Home Edition на рабочем компе технолога? Насколько я помню, его лицензия разрешает использование только на домашних компах. Или комп все же домашний был? :)
                  +3
                  Наши работники живут на работе и заботятся о рабочей технике как о своей домашней ;)
                    +2
                    LOL :)
                    Но все же аккуратнее. При проверке потенциально могу навздрюкать. :(
                      0
                      У начальства есть моя служебка о том чо НАДО корпоративную защиту. Ждем деньги
                        –3
                        А зачем деньги, если есть бесплатный и довольно крутой Windows Essentials? Или у начальства на винду тоже ваша служебка есть? :)
                          +3
                          MSE бесплатен для организаций, где установлено до 10 машин. Тоже не мешает помнить.
                    +1
                    «Лицензионные соглашения конечного пользователя для Windows XP Home, Windows 7 Home Basic, Windows 7 Home Premium не содержат запрета на использование этих продуктов в организациях.»

                    www.microsoft.com/rus/microsoft4you/documents/commercial/default.aspx
                      +1
                      Камрад про Avast Home Edition
                        0
                        Ааа. Ступил)
                  • НЛО прилетело и опубликовало эту надпись здесь
                      –1
                      Ну можете смело написать свой пост более углубленным анализом.
                      С удовольствием почитаю
                        0
                        Совершенно справедливо. У меня например с вируслабами совершенно иной экспириенс.
                        +4
                        Насчёт Аваста меня просили вам передать вот что: onlinescan.avast.com/
                          0
                          Супер, еще бы акуюже страницу видал мне гугол на запрос avast Dubmit virus sample или что-то подобное. То было бы очень хорошо
                            0
                            Добавьте в топик чтоли.
                          +2
                          У вашего технолога доисторический аваст. Сейчас уже 6 версия в ходу. Автообновление иногда полезно оставлять включенным, особенно у антивируса.
                            0
                            Есть автообновление но не хочет обновлятся(ни автоматом ни вручную). К стати на базы то оно не влияет базы всегда обновляются нормально
                            +1
                            Win32:Rootkit-gen[Rtk]

                            Странная классификация. Руткиты описанным не занимаются, да и не убиваются так просто, по-хорошему.
                              +3
                              Ну таки, понты дороже денег.
                              Не винлокер банальный, но руткит полиморфный!
                              0
                              Вчера на одном из рабочих компов обнаружился похожий по названию файла вирус, возможно тот же самый, касперский его в лицо не знал, но сказал что файл ведет себя подозрительно, не дал ему нанести какого либо вреда, закарантинил и предложил полечиться (кстати вирь загрузился через java если верить касперу), потом из карантина я отправил его им на проверку. хорошо что на том компе стоял не аваст, как на большинстве других:)
                                0
                                кстати любопытно решение в msconfig убрать из автозагрузки. Обычно это не помогает, гадят в параметр SHELL раздела WINLOGON либо userinit.exe заражают, либо в параметр Userinit дописывают.
                                Приходится грузится с диска монтировать куст и только так убирать.
                                  0
                                  Раза 3 сталкивался с подобной ситуацией, только это был не банальный локер, а некий троян выложенный на подломаных сайтах под видом картинки. Скачивался .scr.
                                  В итоге хуже всех проявил себя Симантек — я еле нашел контакты, звонил в поддержку, ждал письма со ссылкой на форму отправки и через неделю получил ответ что ничего не найдено.
                                  По разу показал себя Microsoft и Drweb — ссылка приходила вечером, утром уже определялся. Если не определялся — DrWeb оперативно отреагировал (через пару часов пришло уведомление). Касперский один раз поймал, один раз добавили в базу через часов 6, один раз внесли хэш в KSN в результате файл буквально через несколько минут определялся как вредоносный и блокировался, но без указания семейства и т.д.

                                  В целом положительные впечатления от всех 3, за исключением Симантека. У него в стародавние времена базы вообще обновлялись раз в неделю, что вымораживало.
                                    0
                                    1-й раз тупо удалил из автозагурзки, не помогло
                                    2-й раз переименовал файл и перегрузился — помогло. Только начало появдятся сообщение о неудачном запуске того самого файлика
                                    потом прошелся по компу AVZ-ом и подчислит все ключи реестра которые тот затронул
                                      +1
                                      На самом деле процесс лечения описан тоже какой то странный. «Загрузился, успел нажать, закрыл» — магия какая то. Обычно грузится Live дистрибутив и спокойно ковыряется зараженная система, не?
                                        –1
                                        А если под руками ничего нет? кроме сейфмода и флешки с AVZ? или вы всегда с собой таскаете все мыслимые диски со всеми системами?
                                          +1
                                          почему со всеми мыслимми системами? Статья о lockere под Windows. Одного Windows LiveCD достаточно вполне. По крайней мере ни разу для борьбы с локерами не потребовался AVZ
                                            +1
                                            Для локера, одно, для руткита — другое, для трояна третье, у меня для них всех 1-флеш(AVZ) и 1-ЦД (ERD Commander — которого под руками в то время небыло). Вот и все.
                                            Здесь ще куча «умельцев» которые советую СРАЗУ переставлять винду и приправляют свои советы расказнями о том что был случай что даже переустановка непомогла
                                              0
                                              Здесь — в моем городе
                                                +1
                                                Умельцы такие везде есть. Просто описанный метод странный :) Даже руткит лучше удалять из под незараженной системы. Где её взять на зараженном компьютере? Правильно — LiveCD. В целом, дискуссия становится бессмысленной, я же не холиваров ради написал, извините если задело.
                                                0
                                                Добавьте в копилку Universal Virus Sniffer для полной коллекции.
                                          –1
                                          Что-то в статье не был затронут антивирус NOD, а было бы интересно почитать про него
                                            +1
                                            Я тоже всегда стараюсь отсылать вири в АВ компании, как-то получил письмо от Dr.Web, что в архиве к письму лействительно лежал винлокер… Вот только заявку я посылал почти за полгода до этого :) Приятно, что даже спустя полгода рассмотрели :)

                                            Но это лирика… Бывает так, что лечишь комп руками, потом прогоняешь систему свежескачанным livecd от того же дрвэба — в упор не видит подсунутого виря. Отсылаешь им копию — а в ответ пишут что такое давно есть в базе :(
                                              0
                                              Ну, такого не встречал еще
                                                0
                                                livecd, может пересобираться с значительной задержкой.
                                                0
                                                «радуют» компании БЕЗ наличия комплексных систем защиты от вирусов и т.п.
                                                  0
                                                  Старый пост, но вдруг поможет кому. Это официальный канал оповещения Microsoft о вредоносном ПО:
                                                  www.microsoft.com/security/portal/Submission/Submit.aspx

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.