KES 10 SP1 и «Веб-контроль»

Не хотел в понедельник писать гадости об антивирусах, но что-то уже устаю от борьбы с техподдержкой Лаборатории Касперского. Когда вышел новый продукт «Kaspersky Endpoint Security 10 Service Pack 1«, то делался упор на то, что это не какой-то сверхновый продукт, а очень хорошо и качественно переработанная версия предыдущего — «Kaspersky Endpoint Security 10 Maintenance Release 1«, и в дальнейшем упор будет делаться не на скорость выхода версий или внедрение большего количества новых опций и сервисов, а качество и стабильность продукта (напомню, что речь ведётся о корпоративном продукте для бизнеса, а не о продукте для домашних пользователей, на которых собственно многие инновации и обкатываются 🙂 ). Однако реальность как и всегда оказалась гораздо суровей и безжалостней — продукт что-то приобрёл, но в чём-то резко стал неудобным.

Читать дальше

Мессенджер от ЛК

По слухам от людей, так или иначе связанных с Лабораторией Касперского, в ближайшем времени намечается появление бесплатной программы для обмена мгновенными сообщениями (мессенджер) для мобильных (и не только) платформ с повышенной безопасностью. То есть с обязательным шифрованием трафика, криптографией, обменом ключами и тому подобным. Судя по их словам, мессенджер должен получиться весьма достойным, но как говорится: «поживём — увидим». Ждём его появление в Google Apps, Apple Store и для PC.

KSN и ФСБ

Я уже упоминал о том, что благодаря Kaspesky Security Network в прошлом году имел удовольствие общаться с сотрудником областного управления ФСБ и сотрудником Лаборатории Касперского. Вчера мне напомнили об этом случае и я с ужасом обнаружил, что так и не рассказал об этом подробнее в блоге. Сейчас исправлю это недоразумение. 🙂

Одним прекрасным днём я решил проверить разницу в детектировании продуктами Лаборатории Касперского при сканировании как с включенным KSN, так и без его использования (т.е. проверять с выключенным KSN и без доступа к интернету). Для тестирования взял часть своей коллекции зловредов, которая использовалась при проведении «Теста антивирусов 2011». Как и ожидалось — результат детектирования различался совсем немногим (за исключением скорости проверки), эксперимент был проведён успешно и забыт. Но самое удивительное и интересное началось несколькими неделями позже.

Читать дальше

Анализ минидампов

Разобрал 139 минидампов, собранных с рабочих станций в этом году (разбирал через скрипт kdfe, который по нескольким файлам не смог выявить причину) и получил следующую статистику:

Статистика как бы говорит о том, что Антивирус Касперского всё же доставляет проблем больше чем этого бы хотелось пользователям и разработчикам продукта.

Kaspersky Security Network (KSN)

На прошлой неделе, благодаря Kaspersky Security Network (KSN), я имел удовольствие пообщаться с сотрудниками областного ФСБ по весьма любопытному поводу. Почему это ещё «благодаря KSN», спросите вы недоумевая, а самые рьяные фанатики фанаты Лаборатории Касперского сразу же начнут всё отрицать и говорить, что это наветы и происки врагов. 🙂 Но факт остаётся фактом — KSN гласно и негласно собирает о пользователях кучу информации и отказаться от этой «услуги» можно только нестандартными способами (типа блокирования отправки информации другим файерволом и т.п.). Для начала давайте посмотрим, что же написано в пользовательском соглашении KSN — там приводится довольно подробный список собираемой информации:

  1. Информация об установленном на компьютере аппаратном и программном обеспечении, в том числе версия операционной системы и установленные пакеты обновлений, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, версии браузеров и почтовых клиентов.
  2. Информация о состоянии антивирусной защиты компьютера, а также данные обо всех потенциально вредоносных объектах и действиях (в том числе название детектируемого объекта, дата и время обнаружения, URL-адрес, по которому он был загружен, названия и размер зараженных файлов и пути к ним, IP-адрес атакующего компьютера и номер порта компьютера пользователя, на который была направлена сетевая атака, перечень активностей вредоносной программы, потенциально вредоносные URL-адреса) и решениях продукта и пользователя по ним.
  3. Информация о загружаемых пользователем программах (URL-адрес, атрибуты, размер файла, информация о процессе, загрузившем файл).
  4. Информация о запускаемых программах и их модулях (размер, атрибуты, дата создания, информация заголовка PE, регион, имя, местоположение, упаковщики).
  5. Информация об ошибках и использовании пользовательского интерфейса установленного продукта Лаборатории Касперского.
  6. Также для дополнительной проверки в Лабораторию Касперского могут отправляться файлы, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру Пользователя, или их части.

Читать дальше

Касперский не успевает

Вчера нашёл время и закинул за два дня в Лабораторию Касперского кучу файлов, заражённых вредоносными программами, три запроса из пяти уже обработаны и в копилку «ЛК» были добавлены следующие зловреды:

Backdoor.Win32.Buterat.qw, Backdoor.Win32.LolBot.fo, Exploit.JS.Pdfka.cpl, Exploit.JS.Pdfka.cpm, Exploit.JS.Pdfka.cpn, P2P-Worm.Win32.Palevo.aqqs, Trojan.BAT.Agent.yx, Trojan.Win32.Dialer.wdb, Trojan.Win32.FraudPack.bajw, Trojan.Win32.FraudPack.bawp, Trojan.Win32.FraudPack.bbav, Trojan.Win32.FraudPack.bbaw, Trojan.Win32.FraudPack.bbax, Trojan.Win32.FraudPack.bbay, Trojan.Win32.FraudPack.bbaz, Trojan.Win32.FraudPack.bbbb, Trojan.Win32.FraudPack.bbbc, Trojan.Win32.FraudPack.bbbd, Trojan.Win32.FraudPack.bbbf, Trojan.Win32.FraudPack.bbgc, Trojan.Win32.FraudPack.bbgd, Trojan.Win32.FraudPack.bbge, Trojan.Win32.Llac.fal, Trojan.Win32.VB.aijs, Trojan-Downloader.Win32.Agent.ebsx, Trojan-Dropper.Win32.TDSS.dva, Trojan-Spy.Win32.Zbot.aloq, Trojan-Spy.Win32.Zbot.alox

Из последних двух запросов:

Backdoor.Perl.Shellbot.at, Backdoor.PHP.Agent.km, Backdoor.PHP.Agent.kn, Backdoor.PHP.Agent.ko, Backdoor.PHP.Agent.kp, Backdoor.PHP.Agent.kq, Backdoor.PHP.Agent.kr, Backdoor.PHP.Agent.ks, DoS.Perl.BBDoS.d, Trojan.Win32.Delf.xgu, Trojan-Downloader.Java.Agent.fx, Trojan-Downloader.Win32.Agent.ebvc, Trojan-Spy.PHP.Mailar.i

Читать дальше

"АК" — всё просто и понятно

Вот за что я люблю Антивирус Касперского, так это за его «простоту, доступность и понятливость» (тенденция «упрощаться» с выходом каждой новой версии АК просто пугает). В частности, вот за такие вот «простые и понятные» всем предупреждения:

Читать дальше

Механизм поиска вирусов

Предыдущая заметка и комментарий технической поддержки Лаборатории Касперского натолкнул меня на весьма интересную мысль и я решил проверить как вообще работает механизм сканирования и поиска вирусов внутри файлов.

За основу взял файлы, заражённых следующими зловредами — HEUR:Trojan.Script.Iframer, Backdoor.PHP.WebShell.aw и Trojan-Ransom.JS.SMSer.ap. После этого разместил вредоносный код в шести файлов во всех возможных вариациях (1-2-3, 1-3-2, 2-1-3, 2-3-1, 3-1-2, 3-2-1) и проверил антивирусом:

Читать дальше

Борьба с ветряными мельницами

Только обрадовался, что специалисты Лаборатории Касперского меня всё таки признали здравомыслящим, а сайт из заметки «Разводящие защищаются» признали фишинговым и добавили в чёрный список, как вечером при скачивании с файлообменника fileshare.in.ua отработал скрипт и я узрел очередную копию сайта развода простаков — guardforwin.com. Читать дальше

Новый год всё ещё напоминает о себе

Заметил сегодня у разработчиков Traffic Inspector последствия затянувшегося Нового года — не иначе. 🙂

Обновлено:
Добрые люди подсказали, что не только у них наблюдается такой эффект — Лаборатория Касперского тоже ещё всё никак не отойдёт: