Свежая малварь

Немного пугают результаты проверки уже не самого свежего зловреда (пришёл сегодня на мыло после пяти часов вечера): 2 из 48 — ужасный результат — одна надежда на то, что возможно не  всех вендоров на VirusTotal.com базы были обновлены до самых последних версий. Ну и конечно же вера в то, что «выстрелит» их проактивная защита и облачные сервисы.

Смерть блокеров

Вот и пришла смерть зловредам блокирующим экран, жаль правда что пока только в лице продуктов от ЛК — по нажатию определённого сочетания клавиш запускается процедура выпиливания оной даже в том случае, если до этого вредоносная программа смогла преодолеть всю имеющуюся защиту. Похоже что в Лаборатории Касперского действительно прислушиваются к предложениям, поступившим от пользователей.

Почему я так решил? Пример смотрите в полной версии заметки (жмите «Read more») 🙂

Читать дальше

KSN и ФСБ

Я уже упоминал о том, что благодаря Kaspesky Security Network в прошлом году имел удовольствие общаться с сотрудником областного управления ФСБ и сотрудником Лаборатории Касперского. Вчера мне напомнили об этом случае и я с ужасом обнаружил, что так и не рассказал об этом подробнее в блоге. Сейчас исправлю это недоразумение. 🙂

Одним прекрасным днём я решил проверить разницу в детектировании продуктами Лаборатории Касперского при сканировании как с включенным KSN, так и без его использования (т.е. проверять с выключенным KSN и без доступа к интернету). Для тестирования взял часть своей коллекции зловредов, которая использовалась при проведении «Теста антивирусов 2011». Как и ожидалось — результат детектирования различался совсем немногим (за исключением скорости проверки), эксперимент был проведён успешно и забыт. Но самое удивительное и интересное началось несколькими неделями позже.

Читать дальше

Такие разные результаты…

Совершенно случайно наткнулся на сайт http://www.service58.ru/ с абсолютно бесплатным Adobe Flash Player Mobile. 🙂

Интересен не этот сайт и не скачиваемые с него зловреды, а детект различных антивирусов:

Интересно — такой странный детект у различных продуктов связан с тем, что у них очень слабо развито направление по защите мобильных телефонов и планшетов или ещё с чем-то?

P.S. Для всех несведущих — вышеуказанный сайт распространяет вредоносные программы, маскируясь под легальное ПО. Поэтому не надо их себе скачивать и запускать. )))

Kaspersky Endpoint Security 8.1.0.1042

Читаю описание свежевышедшего  релиза Kaspersky Endpoint Security восьмой линейки и в разделе «Исправлено» нахожу следующее предложение:

Исправлена несовместимость Kaspersky Endpoint Security с приложением TROLL. Теперь приложение TROLL функционирует в нормальном режиме при установленной Kaspersky Endpoint Security.

Читаю и радуюсь — теперь все тролли, использующие Kaspersky Endpoint Security 8, смогут наконец-то полноценно жить и троллить окружающих. )))

Инвентарный номер

Побывал в МАУ МФЦ г. Заречный (Многофункциональный центр предоставления государственных и муниципальных услуг Муниципальное автономное учреждение города Заречного Пензенской области) — получал полис нового образца, который как оказалось необходимо получать лично — распространение их, как раньше, через отдел персонала нашего предприятия по каким-то причинам оказалось невозможным. 🙁 Но речь не об этом, а о том, что я случайно заприметил на стоящем у оператора МФУ нанесённый инвентарный номер:

20130524_101824_resize

Если мне глаза не врут, то количество нулей в инвентарном номере подразумевает возможность учёта 999 квадриллионов 999 триллионов 999 миллиардов 999 миллионов 999 тысяч 999 вещей. То есть без одной штуки один квинтиллион. А теперь вопрос — что в таком количестве вообще в МАУ МФЦ г. Заречный можно учитывать? Траву на газонах? Каждую пылинку или ещё что-то ультра мелкое и с трудом поддающееся учёту? Какой «умник» вообще придумал такой длины инвентарные номера? За такое извращение не грех ему руки вырвать из того места, откуда они у него растут сейчас, приладить к плечам и всыпать по первое число, так чтобы неделю сидеть не мог, вспоминая эту свою шалость.

P.S. Или я не прав и это требование какого-нибудь очередного «гениального» российского закона или постановления?

Kaspersky Endpoint Security для бизнеса

Вышла в свет новая линейка корпоративного антивирусного продукта от Лаборатории Касперского — Kaspersky Endpoint Security и Kaspersky Security Center десятой версии. С выходом новой линейки продуктов ЛК изменила лицензирование продукта — сейчас разбиение идёт в большей степени по дополнительному функционалу, большую часть из которого можно приобретать отдельно. По сути же это доработанная предыдущая версия KES и KSC, в которой появилось только две новые или кардинально обновлённые функции:

Шифрование

В продукт теперь встроен модуль шифрования (который пока не поставляется в комплекте установочного пакета KES, а скачивается отдельно). В российской версии модуля используется алгоритм шифрования Advanced Encryption Standard (AES) с длиной ключа в 53 бита. Использовать более стойкие ключи в продукте запрещает наше российское законодательство, зато за рубежом для скачивания доступен без проблем модуль с нормальной длиной ключа в 256 бит.

Средства системного администрирования

Теперь это отдельная фишка продукта, поставляемая только в комплектах «Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ» и «Kaspersky Total Security для бизнеса» (или же приобретается отдельно). Здесь собрали средства установки/удаления стороннего ПО через агенты KSC, возможность поиска уязвимостей операционной системы и установленных программ, патч-менеджмента продуктов Microsoft (присутствует возможность развёртывания «собственного» WSUS через KSC) и самых распространённых программ, развёртывание операционных систем Windows c помощью Windows Automated Installation Kit (WAIK) и систему контроля доступа к сети NAC. Ленивые администраторы могут теперь писаться от счастья — KSC с них снимет необходимость ковыряться во WSUS, WAIK, NAP и т.п.

P.S. Сразу предупрежу всех желающих попробовать развернуть данный продукт в своей сети — это будет вашим первым шагом к куче проблем и возможному увольнению. Ждите первого Critical Fix, а лучше потерпите сразу и до второго. 🙂 Судя по отзывам людей (да-да, есть такие в наших краях 🙂 ), которые рискнули произвести подобное безумство в рабочей сети — ничего хорошего вас не ожидает.

P.P.S. А вообще очень похоже, что ЛК решила срубить немного бабла на разграничении и продаже функционала продукта по отдельным позициям, а также на увеличении стоимости используемых пакетов.

Наблюдение за вымогателем

В очередной порции спама я обнаружил ссылки на некий сайт, предлагающий скачать различные программы совершенно бесплатно и с высокой скоростью. Скачав пяток самых мелких файлов и сдав их сайту VirusTotal.com, начал наблюдать за поведением антивирусов.

Первый же загруженный файл опознали как вредоносный сразу три продукта — DrWebIkarus и Malwarebytes. Второй файл (добавленный на VT через четыре минуты) и оставшиеся распознали уже семь антивирусов — добавился BitDefender и четыре продукта, использующие его движок: F-SecureGDataMicroWorld-eScan (которые отнекивались от его использования, заявляя о том, что в продукте работает их переписанный движок со своими базами ).

Но отдельно я решил понаблюдать только за последним из пяти загруженных файлов:

Из всего этого следует:

  • что DrWeb весьма оперативно обновляет свои базы
  • что BitDefender‘у в первую очередь сбрасывают подозрительные файлы с VirusTotal.com, который их сверхоперативно добавляет  в свою базу. Теперь можно смело говорить о том, что всё что загружено на VirusTotal.com появится в базах BitDefender через пять минут. 🙂
  • Сильно огорчил товарищ «Антивирус Касперского«, которому я скинул в вируслаб пару файлов и ссылку на сайт — сайт оперативно был занесён в раздел опасных и доступ к нему блокировался, а в двух файлах было найдено две разновидности Hoax.Win32.ArchSMS (что весьма странно — так как упаковывали их по одному принципу), а через пару дней Касперский вообще выдал мне вот такие результаты при проверке всех пяти файлов:

Screenshot - 25.02.2013 , 23_40_16

В пяти файлах с одинаковым зловредом он умудрился создать четыре (!!!) разновидности зловредов, относящихся к двум разным классам вредоносных программ. ну вот как это можно назвать?