Наблюдение за вымогателем

В очередной порции спама я обнаружил ссылки на некий сайт, предлагающий скачать различные программы совершенно бесплатно и с высокой скоростью. Скачав пяток самых мелких файлов и сдав их сайту VirusTotal.com, начал наблюдать за поведением антивирусов.

Первый же загруженный файл опознали как вредоносный сразу три продукта — DrWebIkarus и Malwarebytes. Второй файл (добавленный на VT через четыре минуты) и оставшиеся распознали уже семь антивирусов — добавился BitDefender и четыре продукта, использующие его движок: F-SecureGDataMicroWorld-eScan (которые отнекивались от его использования, заявляя о том, что в продукте работает их переписанный движок со своими базами ).

Но отдельно я решил понаблюдать только за последним из пяти загруженных файлов:

Из всего этого следует:

  • что DrWeb весьма оперативно обновляет свои базы
  • что BitDefender‘у в первую очередь сбрасывают подозрительные файлы с VirusTotal.com, который их сверхоперативно добавляет  в свою базу. Теперь можно смело говорить о том, что всё что загружено на VirusTotal.com появится в базах BitDefender через пять минут. 🙂
  • Сильно огорчил товарищ «Антивирус Касперского«, которому я скинул в вируслаб пару файлов и ссылку на сайт — сайт оперативно был занесён в раздел опасных и доступ к нему блокировался, а в двух файлах было найдено две разновидности Hoax.Win32.ArchSMS (что весьма странно — так как упаковывали их по одному принципу), а через пару дней Касперский вообще выдал мне вот такие результаты при проверке всех пяти файлов:

Screenshot - 25.02.2013 , 23_40_16

В пяти файлах с одинаковым зловредом он умудрился создать четыре (!!!) разновидности зловредов, относящихся к двум разным классам вредоносных программ. ну вот как это можно назвать?

Свежий винлок

Впервые вижу как вымогатель, ориентированный на русскоязычный сегмент сети, обнаруживают два малоизвестных в сегменте антивируса — AhnLab-V3 и Fortinet. Куда катится этот мир, ежели отечественные вендоры проигрывают гонку своим даже далеко не основным конкурентам.

Winlock’и идут на прорыв #3

Принесли очередной ноутбук, вымогающий у владельца деньги. 🙂 Система Windows XP, антивируса полноценного нет, зато установлена утилита, удаляющая зловреды с флешек. Зловредов оказался целый зоопарк — рука устала отправлять их на VirusTotal.com 🙂 :

Смотрим на это и делаем вывод о том, что даже любой среднестатистический антивирус справился бы со всеми из этого списка зловредов, а следовательно отказываться от антивирусов для неопытных пользователей — блажь и дурь.

Winlock’и идут на прорыв #2

Очередной набор зловредов, идущих с винлоком, заразившим Windows XP SP3 c установленным ESET NOD32.

Winlock'и идут на прорыв

На последнем ноутбуке с Winlock’ом обнаружено было столько всего интересного, что даже и не знаю через какую именно дыру данный зловред пролез в систему (Windows 7 Started, Microsoft Security Essentials).

Вот список всего этого добра (именую по версии Лаборатории Касперского):

Eset Smart Security vs Malware — 0:1

Сегодня принесли ноутбук с весёлой картинкой — по словам владельца заражение произошло вчера вечером (стоит Windows Vista с включенным UAC)^

После устранения заразы Windows спокойно запустилась и NOD бодренько отрапортовал о том, что всё хорошо:

По версии Лаборатории Касперского это был Trojan-Ransom.Win32.Birele.aouотчёт на VirusTotal.com (11 / 41).

WinLock vs. Avast! #2

Принесли очередной компьютер «защищённый» Avast! c последними базами, но поражённый очередным винлоком:

А вот то,  что было найдено из неотловленного авастом на диске в результате изысканий (это только то, что увидел среди вычищенных файлов Касперский) — если где-то повторился, заранее извиняюсь:

Avast! после чистки запустился вместе с операционной системой и бодренько так отрапортовал о том, что система защищена. Вот и предлагай потом людям аваст бесплатный ставить…

WinLock vs. Avast! #1

Вчера принесли системный блок с уже приевшейся табличкой при запуске Windows:

В  системе резвились вот эти два зловреда — Trojan-Ransom.Win32.PornoAsset.byh и некий HEUR:Trojan.Win32.Generic. Во время ковровых бомбардировок и зачистки территории выяснилось, что заражены оказались и два весьма значимых для ОС файла из каталога «WINDOWSsystem32» — taskmgr.exe и userinit.exe. После лечения и восстановления оригинальных файлов Windows загрузилась в штатном режиме и весьма озадачило наличие значка Avast! в системном трее, при нажатии на который можно было увидеть следующее:

Как работающий антивирус с последними базами позволил заразить важные системные файлы и не заметить зловреда — вопрос интересный.