Привет всем!

Надеюсь, кому-то приведённые мной обзоры показались интересными. Продолжим! Сегодня я долго думал что бы написать. Идей не оказалось, кроме небольшой обиды на «Лабораторию Касперского», но это уже неважно и это уже почти лично-интимное.

Итак, сегодня я хочу подёргать за первичные половые признаки эвристику некоторых антивирусов. You CAN try this at home! ;) Как это обычно бывает, результаты оказались удивительными.

Возможно, все знают, что при активном заражении, а особенно — файловыми вирусами, наиболее универсальным и эффективным средством является использование LiveCD от антивирусных вендоров. Обычно, это BootCD на основе ОС Linux с установленным антивирусом и базами, а также системой распознания сетевых настроек и оборудования. Это позволяет после загрузки подключиться к интернет и обновить базы прямо находясь в среде LiveCD.

К сожалению, бывают случаи, когда заражённая машина не подключена к Интернет, либо настройки подключения не распознаются, требуют установки дополнительного программного обеспечения и т.д. Антивирусные компании обновляют образы LiveCD приблизительно каждую неделю, но принимая во внимание огромное количество репаков зловредов зачастую критично иметь именно актуальные базы.

Сейчас я хочу рассказать о способе обновления баз Kaspersky Rescue Disk и пересоздание его образа так, чтобы на диск была записана актуальная информация.

История винлокеров тянется уже давно. Особенно было интересно в декабре 2009 — январе 2010 с появлением семейства Digitala. Интересно потому, что умудриться организовать заражение с функционалом руткита ZeroAccess (Get Accelerator) или выполнять подгрузку вредоносной библиотеки из ADS-потока с контролем и блокировкой антивирусных процессов (iLite Net Accelerator) — это, знаете ли, не политики проводника менять и userinit дописывать! А идея дропаться после связи с командным сервером — в итоге сейчас старые дропперы не работают, а прекрасно работали ещё в феврале? Мда, обнищал нынче народ на идеи — ну да ладно! :)

Речь пойдёт не о «монстрах» дела блокировки Windows, а о куда более убогих их собратьях, коих процентов 90. Итак, ситуация: у Вас весёлое окно с вымогательством и нерабочая система.

В последнее время появилось и постепенно набирают обороты жалобы пользователей на наличие вредоносных файлов, которые не удаётся удалить никаким образом. Эти файлы видно в списке актиынх процессов, и что характерно — все они размещаются в папке C:\System Volume Information\ (или подпапках) и выполняются с правами NT-AUTHORITY\SYSTEM.

Если у Вас обнаруживается такое поведение — поздравляю, Вы подхватили Whistrler Bootkit. О нём и пойдёт речь сегодня.