Наблюдение за вымогателем

В очередной порции спама я обнаружил ссылки на некий сайт, предлагающий скачать различные программы совершенно бесплатно и с высокой скоростью. Скачав пяток самых мелких файлов и сдав их сайту VirusTotal.com, начал наблюдать за поведением антивирусов.

Первый же загруженный файл опознали как вредоносный сразу три продукта — DrWebIkarus и Malwarebytes. Второй файл (добавленный на VT через четыре минуты) и оставшиеся распознали уже семь антивирусов — добавился BitDefender и четыре продукта, использующие его движок: F-SecureGDataMicroWorld-eScan (которые отнекивались от его использования, заявляя о том, что в продукте работает их переписанный движок со своими базами ).

Но отдельно я решил понаблюдать только за последним из пяти загруженных файлов:

Из всего этого следует:

  • что DrWeb весьма оперативно обновляет свои базы
  • что BitDefender‘у в первую очередь сбрасывают подозрительные файлы с VirusTotal.com, который их сверхоперативно добавляет  в свою базу. Теперь можно смело говорить о том, что всё что загружено на VirusTotal.com появится в базах BitDefender через пять минут. 🙂
  • Сильно огорчил товарищ «Антивирус Касперского«, которому я скинул в вируслаб пару файлов и ссылку на сайт — сайт оперативно был занесён в раздел опасных и доступ к нему блокировался, а в двух файлах было найдено две разновидности Hoax.Win32.ArchSMS (что весьма странно — так как упаковывали их по одному принципу), а через пару дней Касперский вообще выдал мне вот такие результаты при проверке всех пяти файлов:

Screenshot - 25.02.2013 , 23_40_16

В пяти файлах с одинаковым зловредом он умудрился создать четыре (!!!) разновидности зловредов, относящихся к двум разным классам вредоносных программ. ну вот как это можно назвать?

noDVD и кейгены к играм # 2

Продолжение заметки «noDVD и кейгены к играм». Благодаря участникам портала SafetyGate.ru (огромное им спасибо за поддержку и оперативные результаты 🙂 ) получилось собрать реальную статистику, согласно которой самыми подозрительными антивирусами стали:

  • Norton IS 2012
  • Twister AntiVirus V7
  • Blink Personal

А самими лояльными антивирусами оказались:

  • avast! Free Antivirus
  • Dr. Web Security Space Pro
  • Kaspersky Crystal / Kaspersky IS 2013

Также оказалось, что результаты, полученные с помощью VirusTotal.com довольно часто расходятся с результатами, полученными в реальной среде, что наводит на размышления.

Листая спам

Я иногда люблю полистать спам перед удалением — нет-нет, да находятся различного рода перлы или рекламные акции 🙂 . Вот например сегодня кроме рекламы порно, проституток, уггов и разных сайтов:

отличный ресурс http://xakeroff.net/viewtopic.php?id=5365 — Взлом, Взлом, Взлом Одноклассников, Взлом Электронного ящика и многое другое.

у него даже ролик есть рекламный и пара видео на youtub )))

 взлом в контакте программа — http://секреты-вконтакте.com/чужие-сообщения/

все секреты «вконтакте» весят оказывается всего 18 метров — даже обидно, что так мало секретов ))) об их секретах уже знает 14 антивирусов — отчёт на VirusTotal.com, но Авиры, Симантека и Касперского среди них нет (((

Попутно скачал пару «платных» архивов c «Google Files #1» (google-ffile.q9w.ru, google-fiile.u7w.ru):

и интересную аську на телефон (распознали 10 из 43 антивирусов) с сайта operaminix.ru:

 

P.S. Вот и говори потом, что спам читать не интересно. )))

P.P.S. Интересно, а различные антивирусные вендоры и борцы с вредоносными/поддельными сайтами используют различные движки блогов, сайтов, форумов  висящие на левых доменах как ловушки для распространяемого в сети спама?

Борьба с семейством WinLock

Четвёртый год подряд ведётся ожесточённая борьба антивирусных разработчиков с семейством  Trojan.Winlock (Trojan-Ransom) и первые всё также продолжают существовать в роли догоняющих. Хотя ничего особо сложного в функционале, способах заражения и работы данного семейства зловредов нет, и никто не мешает перекрыть кислород 90% всем имеющимся его разновидностям.

Несколько шагов, которые позволят резко снизить количество заражений:

1. Запретить внесение изменений/замену важных системных файлов Windows

2. Запретить изменять ряд ключей реестра (отключение диспетчера задач, замена оболочки Windows и т.п.) — все подобные изменения разрешать вносить только через настройки самого антивируса

3. Ввести жёсткий контроль за всеми программами, автоматически стартующими при запуске системы. Стоит внедрить механизм жёсткого отсечения «левых» программ из автозапуска и большая часть зловредов не сможет самореализоваться )) . Благо не так много вариантов и путей автозапуска:

  • службы Windows
  • каталог «Автозагрузка»
  • ключи раздела HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon (а также HKEY_LOCAL_USER,  HKEY_USERS)
  • раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun (а также HKEY_LOCAL_USER,  HKEY_USERS )
  • ну и всякие там не столь известные разделы, типа «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe» и т.п.

4. Перехватывать и блокировать потенциально опасные вызовы и функции, которые используются блокировщиками.

5. Ввести единые для всех антивирусов комбинации горячих клавиш, позволяющих завершать разом все несистемные процессы (и блокировать запуск новых до отключения данной функции) и вызывать окно антивируса (для обновления и проведении проверки, а также для отправки сообщения с отчётами в вируслаб о пропущенном заражении).

Список этот можно и дополнить, однако и вышеприведённых мер с лихвой хватит для отсеивания большей части блокираторов. Непонятно почему ведущие производители антивирусов это давно уже не внедрили?

 

Eset Smart Security vs Malware — 0:1

Сегодня принесли ноутбук с весёлой картинкой — по словам владельца заражение произошло вчера вечером (стоит Windows Vista с включенным UAC)^

После устранения заразы Windows спокойно запустилась и NOD бодренько отрапортовал о том, что всё хорошо:

По версии Лаборатории Касперского это был Trojan-Ransom.Win32.Birele.aouотчёт на VirusTotal.com (11 / 41).

Лжепрограммы и их сборки

Недавно читал заметку на Хабре про то как легко нынче потерять пароли и как антивирусы на этом смотрят «сквозь пальцы» — «Как элементарно обходятся антивирусы и их поведенческие анализаторы», и вот буквально сегодня мне выпала возможность проверить как это выглядит в реальности на схожем экземпляре. На форуме OSZone.net один товарищ разместил сообщение следующего вида:

Прошу прощения… Создал вот свою сборку на базе Оперы 11.60. Хотелось бы с вами ее поделиться…
Принцип сборки — 4 файла для запуска с разными параметрами и настройками…
Opera clear — для ребенка. Так называемый чистый интернет)))… Блокируются все (вы потом и скажете все или нет?!) сайты содержащие эротическую и порнографическую информацию, а так же нецензурную лексику… (если есть хоть одно матное слово — сайт будет блокирован!). По умолчанию ребенок добраться до включения не должен)))…. Кроме того подключено расширение WOT, с зарегистрированным пользователем Opera-CESS.
Opera extreme — полная версия. Насыщенная)))… Подключены расширения, которыми я лично пользуюсь. На мой взгляд ничего лишнего)))… Настроена панель под максимальное пространство…
Opera secure — типа безопасная)))… По умолчанию пароли не сохраняет, при выходе очищает всю историю, кэш и куки. Кроме того при запуске выдает ДВЕ вкладки — одна из которых ПРИВАТНАЯ!…(соответственно значками на вкладке сие можно заметить)… Расширений никаких нет.
Opera standart — Стандартная версия.

И в приложении две ссылки (кто захочет — тот найдёт), по которым скачивается файл OperaCESS_1.1.60.exe размером в 22 МБ (знают гады про то, что большая часть сервисов онлайн проверки на вирусы имеет ограничение в 20 МБ). Сам по себе он является самораспаковывающимся архивом 7z, в котором кроме оригинальной Opera (исполняемый файл которой сделан скрытым) есть ещё четыре весёлых файла:

Отсюда вывод, который повторяю всем и вся не первый раз — качайте программы только с официальных сайтов и никогда не пользуйтесь чужими самопальными сборками, в противном случае вас может ожидать, как нынче выражается молодёжь, печалька. 😉

NANO Антивирус

NANO Антивирус

Компания: NANO Security

Основатели: неизвестно

Год создания: 2009

Движок (ядро): собственная разработка

Страна: г. Брянск, Россия

Сайт: nanoav.ru (русскоязычная версия имеется)

Форум: nanoav.ru/forum (русскоязычные разделы имеются)

On-line проверка: неизвестно

Страница статистики: неизвестно

Количество сотрудников: неизвестно

Читать дальше

Corbitek Antimalware

Corbitek Antimalware

Компания: Corbitek Software

Основатели: неизвестно

Год создания: 2009

Движок (ядро): собственная разработка

Страна: неизвестно

Сайтcorbitek.ro (русскоязычной версии нет, сайт уже которую неделю подряд находится в оффлайне)

Форум: неизвестно

On-line проверка: неизвестно

Страница статистики: неизвестно

Количество сотрудников: неизвестно Читать дальше

Zillya! Internet Security

Zillya! Internet Security

Компания: ООО «Олайти Сервис» (ALLIT Service)

Основатели: не нашёл

Год создания: 2009

Движок (ядро): собственная разработка

Страна: г. Киев, Украина

Сайт: zillya.com (русскоязычная версия имеется)

Форум: forum.zillya.com (русскоязычного раздела нет, но вопросы «російською мовою можна задавати» и в украинском разделе форума — довольно странная логика у разработчика)

On-line проверка: не нашёл

Страница статистики: не нашёл

Количество сотрудников: ~ 15 Читать дальше