Свежая малварь

Немного пугают результаты проверки уже не самого свежего зловреда (пришёл сегодня на мыло после пяти часов вечера): 2 из 48 — ужасный результат — одна надежда на то, что возможно не  всех вендоров на VirusTotal.com базы были обновлены до самых последних версий. Ну и конечно же вера в то, что «выстрелит» их проактивная защита и облачные сервисы.

Такие разные результаты…

Совершенно случайно наткнулся на сайт http://www.service58.ru/ с абсолютно бесплатным Adobe Flash Player Mobile. 🙂

Интересен не этот сайт и не скачиваемые с него зловреды, а детект различных антивирусов:

Интересно — такой странный детект у различных продуктов связан с тем, что у них очень слабо развито направление по защите мобильных телефонов и планшетов или ещё с чем-то?

P.S. Для всех несведущих — вышеуказанный сайт распространяет вредоносные программы, маскируясь под легальное ПО. Поэтому не надо их себе скачивать и запускать. )))

Наблюдение за вымогателем

В очередной порции спама я обнаружил ссылки на некий сайт, предлагающий скачать различные программы совершенно бесплатно и с высокой скоростью. Скачав пяток самых мелких файлов и сдав их сайту VirusTotal.com, начал наблюдать за поведением антивирусов.

Первый же загруженный файл опознали как вредоносный сразу три продукта — DrWebIkarus и Malwarebytes. Второй файл (добавленный на VT через четыре минуты) и оставшиеся распознали уже семь антивирусов — добавился BitDefender и четыре продукта, использующие его движок: F-SecureGDataMicroWorld-eScan (которые отнекивались от его использования, заявляя о том, что в продукте работает их переписанный движок со своими базами ).

Но отдельно я решил понаблюдать только за последним из пяти загруженных файлов:

Из всего этого следует:

  • что DrWeb весьма оперативно обновляет свои базы
  • что BitDefender‘у в первую очередь сбрасывают подозрительные файлы с VirusTotal.com, который их сверхоперативно добавляет  в свою базу. Теперь можно смело говорить о том, что всё что загружено на VirusTotal.com появится в базах BitDefender через пять минут. 🙂
  • Сильно огорчил товарищ «Антивирус Касперского«, которому я скинул в вируслаб пару файлов и ссылку на сайт — сайт оперативно был занесён в раздел опасных и доступ к нему блокировался, а в двух файлах было найдено две разновидности Hoax.Win32.ArchSMS (что весьма странно — так как упаковывали их по одному принципу), а через пару дней Касперский вообще выдал мне вот такие результаты при проверке всех пяти файлов:

Screenshot - 25.02.2013 , 23_40_16

В пяти файлах с одинаковым зловредом он умудрился создать четыре (!!!) разновидности зловредов, относящихся к двум разным классам вредоносных программ. ну вот как это можно назвать?

Коды для удаления баннеров

Большинство мало мальски продвинутых пользователей ПК знает о трёх основных сервисах по разблокировке компьютеров с помощью ввода уже известных кодов от ряда антивирусных вендоров:

  1. Доктор Веб: Dr.Web — Бесплатный разблокировщик Dr.Web от Trojan.Winlock
  2. Kaspersky Lab: Удаление баннера с рабочего стола, разблокировка Windows
  3. ESETРазблокировка Windows, если вирус просит отправить смс (удаление trojan winlock вируса)

Но кроме этих трёх сервисов свою борьбу со зловредами ведёт и Максим Сокульский aka mrbelyash. На днях его проект переехал с блога mrbelyash.blogspot.com на сайт stop-winlock.ru. Поэтому если на трёх вышеперечисленных сервисах вы не нашли кодов для разблокировки, то не поленитесь поискать их и на этом ресурсе. 😉

Статистика обнаружения зловредов ЛК # 9

В начале года я забросил заниматься изучением статистики обнаружения ранее неизвестных зловредов Антивирусом Касперского на основании моей подборки, также как и перестал её обновлять. Однако, готовясь к выпуску финальной версии VIRUSort, произвёл перепроверку, которая длилась одиннадцать с половиной часов, в результате чего было обнаружено 30 тысяч заражённых объектов. После облагораживания полученных результатов (удаление эвристики, UDS и прочего) я обновил результат предыдущей записи. Чтобы быть предельно честным и не тратить огромное количество времени на выяснение когда какой зловред из добавленных был найден ЛК, я взял время последней проверки (во время которой сканируемая подборка оказалась «чистой» 🙂 ) и стал отталкиваться от неё, как от времени обнаружения вируслабом ЛК (раньше эти зловреды всё равно не могли добавить — проверка производилась как раз в этот день).

Всего статистика охватила 6 257 уникальных наименований, против 4873 наименований 11 января 2012 года. Краткая же статистика показывает следующее:

P.S.  Полный список зловредов можно скачать отсюда.

noDVD и кейгены к играм

Неоднократно сталкивался с тем, что люди ругали какой-то антивирус из-за его нездоровой тенденции к занесению всех noDVD, кейгенов и т.п. вещей в разряд опасного с последующим удалением. Пока появилось немного свободного времени, решил проверить эти утверждения и выяснить — так ли это на самом деле и кто из вендоров грешит этим больше других. Для эксперимента было скачано с одного из популярных сайтов подобной тематики ряд noDVD и keygen. После распаковки пары сотен архивов, была произведена зачистка от различных игровых файлов, которые по определению не могут быть заражёнными. Потом произведено удаление одинаковых файлов и файлов больше 10 мегабайт (как представил потуги VT с их заливкой и проверкой, так сразу решил облегчить себе жизнь 🙂 ). Оставшийся 341 файл был залит на VirusTotal.com и в таблице приведено общее количество детектируемых объектов различными антивирусными продуктами:

Читать дальше

Свежий винлок

Впервые вижу как вымогатель, ориентированный на русскоязычный сегмент сети, обнаруживают два малоизвестных в сегменте антивируса — AhnLab-V3 и Fortinet. Куда катится этот мир, ежели отечественные вендоры проигрывают гонку своим даже далеко не основным конкурентам.

Winlock’и идут на прорыв #3

Принесли очередной ноутбук, вымогающий у владельца деньги. 🙂 Система Windows XP, антивируса полноценного нет, зато установлена утилита, удаляющая зловреды с флешек. Зловредов оказался целый зоопарк — рука устала отправлять их на VirusTotal.com 🙂 :

Смотрим на это и делаем вывод о том, что даже любой среднестатистический антивирус справился бы со всеми из этого списка зловредов, а следовательно отказываться от антивирусов для неопытных пользователей — блажь и дурь.

Winlock’и идут на прорыв #2

Очередной набор зловредов, идущих с винлоком, заразившим Windows XP SP3 c установленным ESET NOD32.

Winlock'и идут на прорыв

На последнем ноутбуке с Winlock’ом обнаружено было столько всего интересного, что даже и не знаю через какую именно дыру данный зловред пролез в систему (Windows 7 Started, Microsoft Security Essentials).

Вот список всего этого добра (именую по версии Лаборатории Касперского):