Наблюдение за вымогателем

В очередной порции спама я обнаружил ссылки на некий сайт, предлагающий скачать различные программы совершенно бесплатно и с высокой скоростью. Скачав пяток самых мелких файлов и сдав их сайту VirusTotal.com, начал наблюдать за поведением антивирусов.

Первый же загруженный файл опознали как вредоносный сразу три продукта — DrWebIkarus и Malwarebytes. Второй файл (добавленный на VT через четыре минуты) и оставшиеся распознали уже семь антивирусов — добавился BitDefender и четыре продукта, использующие его движок: F-SecureGDataMicroWorld-eScan (которые отнекивались от его использования, заявляя о том, что в продукте работает их переписанный движок со своими базами ).

Но отдельно я решил понаблюдать только за последним из пяти загруженных файлов:

Из всего этого следует:

  • что DrWeb весьма оперативно обновляет свои базы
  • что BitDefender‘у в первую очередь сбрасывают подозрительные файлы с VirusTotal.com, который их сверхоперативно добавляет  в свою базу. Теперь можно смело говорить о том, что всё что загружено на VirusTotal.com появится в базах BitDefender через пять минут. 🙂
  • Сильно огорчил товарищ «Антивирус Касперского«, которому я скинул в вируслаб пару файлов и ссылку на сайт — сайт оперативно был занесён в раздел опасных и доступ к нему блокировался, а в двух файлах было найдено две разновидности Hoax.Win32.ArchSMS (что весьма странно — так как упаковывали их по одному принципу), а через пару дней Касперский вообще выдал мне вот такие результаты при проверке всех пяти файлов:

Screenshot - 25.02.2013 , 23_40_16

В пяти файлах с одинаковым зловредом он умудрился создать четыре (!!!) разновидности зловредов, относящихся к двум разным классам вредоносных программ. ну вот как это можно назвать?

Ritlabs — шаг в будущее

Компания RITLABS, широко известная в своё время благодаря популярному почтовому клиенту The Bat!, по всей видимости, весьма удачно отметила праздники и и на днях разместила релиз программы The Bat! Voyager, датируемый аж серединой этого года. 🙂

Screenshot_17.01.2013

Разница в подходах

В прошлом месяце после установки одной легально приобретённой программы возникли проблемы при её работе. Вроде бы запускается, однако делать то, что должна, ну ни в какую не хочет. Купил я её в конце прошлого года и с момента покупки ещё не прошёл год, но появилась более новая версия. Недолго думая, попытался скачать и поставить новую версию со старым ключом — не прокатило. И вот тут начинается веселье.

Обратился в отдел продаж с вопросом о том, что старая версия программы не хочет нормально работать на 64-х разрядной Windows 7 и можно ли получить ключ на новую версию, вроде как годовое обслуживание, обновление и техподдержка входят в пакет стандартных услуг у большинства разработчиков и поставщиков ПО. На что получил отказ с объяснением, что ничего такого у них нет и плати денежку за обновление. Якобы старая версия стоила дёшево, а новая в два раза дороже из-за внедрения системы автоматического обновления. Поэтому ничем помочь они не в состоянии — платите бабло и будет вам счастье.

Ну что же — раз такой расклад, то решил попробовать устранить ошибку в программе с помощью службы техподдержки. Описал свою проблему, приложил скриншоты и … получил ответ, что данный продукт больше не поддерживается. Но после этого предлагалось прислать свой код для старой версии, чтобы мне его заменили на код для новой версии. 🙂 Вот так в течении двух часов я стал обладателем новой версии продукта, хотя служба продаж этой компании утверждала, что это возможно только за деньги. )))

P.S. Самое смешное в том, что проблема повторилась и в новой версии продукта и была найдена её причина, которая заключалась в том, что при определённой комплектности установки программа вываливала ошибку при обращении к внутренним функциям. Проблему оперативно исправили, а я оказался счастливым и вполне легальным обладателем новой версии продукта. 🙂

noDVD и кейгены к играм # 2

Продолжение заметки «noDVD и кейгены к играм». Благодаря участникам портала SafetyGate.ru (огромное им спасибо за поддержку и оперативные результаты 🙂 ) получилось собрать реальную статистику, согласно которой самыми подозрительными антивирусами стали:

  • Norton IS 2012
  • Twister AntiVirus V7
  • Blink Personal

А самими лояльными антивирусами оказались:

  • avast! Free Antivirus
  • Dr. Web Security Space Pro
  • Kaspersky Crystal / Kaspersky IS 2013

Также оказалось, что результаты, полученные с помощью VirusTotal.com довольно часто расходятся с результатами, полученными в реальной среде, что наводит на размышления.

ЛК vs. LanAgent

На днях мне попались на глаза несколько не самых свежих «агентов» программы LanAgent Enterprise, устанавливаемых на наблюдаемые компьютеры. Сами по себе они какой-то особой ценности не несут, зато результат проверки антивирусом Касперского порадовал своей оригинальностью:

В файлах агентов он кроме вполне нормальных диагнозов «not-a-virus:Monitor.Win32.LanAgent.b» и  «not-a-virus:Monitor.Win32.LanAgent.g» нашёл:

  • not-a-virus:RemoteAdmin.Win32.DameWare.b
  • Backdoor.Win32.Delf.aave

В связи с этим и возникает вопрос — насколько вообще актуальны и упорядочены сигнатурные базы в продуктах Лаборатории Касперского, если на одной потенциально опасной программе можно увидеть такой огромный разброс вердиктов?

P.S. Кстати, данную программу видят далеко не все антивирусные вендоры:

Листая спам

Я иногда люблю полистать спам перед удалением — нет-нет, да находятся различного рода перлы или рекламные акции 🙂 . Вот например сегодня кроме рекламы порно, проституток, уггов и разных сайтов:

отличный ресурс http://xakeroff.net/viewtopic.php?id=5365 — Взлом, Взлом, Взлом Одноклассников, Взлом Электронного ящика и многое другое.

у него даже ролик есть рекламный и пара видео на youtub )))

 взлом в контакте программа — http://секреты-вконтакте.com/чужие-сообщения/

все секреты «вконтакте» весят оказывается всего 18 метров — даже обидно, что так мало секретов ))) об их секретах уже знает 14 антивирусов — отчёт на VirusTotal.com, но Авиры, Симантека и Касперского среди них нет (((

Попутно скачал пару «платных» архивов c «Google Files #1» (google-ffile.q9w.ru, google-fiile.u7w.ru):

и интересную аську на телефон (распознали 10 из 43 антивирусов) с сайта operaminix.ru:

 

P.S. Вот и говори потом, что спам читать не интересно. )))

P.P.S. Интересно, а различные антивирусные вендоры и борцы с вредоносными/поддельными сайтами используют различные движки блогов, сайтов, форумов  висящие на левых доменах как ловушки для распространяемого в сети спама?

Борьба с семейством WinLock

Четвёртый год подряд ведётся ожесточённая борьба антивирусных разработчиков с семейством  Trojan.Winlock (Trojan-Ransom) и первые всё также продолжают существовать в роли догоняющих. Хотя ничего особо сложного в функционале, способах заражения и работы данного семейства зловредов нет, и никто не мешает перекрыть кислород 90% всем имеющимся его разновидностям.

Несколько шагов, которые позволят резко снизить количество заражений:

1. Запретить внесение изменений/замену важных системных файлов Windows

2. Запретить изменять ряд ключей реестра (отключение диспетчера задач, замена оболочки Windows и т.п.) — все подобные изменения разрешать вносить только через настройки самого антивируса

3. Ввести жёсткий контроль за всеми программами, автоматически стартующими при запуске системы. Стоит внедрить механизм жёсткого отсечения «левых» программ из автозапуска и большая часть зловредов не сможет самореализоваться )) . Благо не так много вариантов и путей автозапуска:

  • службы Windows
  • каталог «Автозагрузка»
  • ключи раздела HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon (а также HKEY_LOCAL_USER,  HKEY_USERS)
  • раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun (а также HKEY_LOCAL_USER,  HKEY_USERS )
  • ну и всякие там не столь известные разделы, типа «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe» и т.п.

4. Перехватывать и блокировать потенциально опасные вызовы и функции, которые используются блокировщиками.

5. Ввести единые для всех антивирусов комбинации горячих клавиш, позволяющих завершать разом все несистемные процессы (и блокировать запуск новых до отключения данной функции) и вызывать окно антивируса (для обновления и проведении проверки, а также для отправки сообщения с отчётами в вируслаб о пропущенном заражении).

Список этот можно и дополнить, однако и вышеприведённых мер с лихвой хватит для отсеивания большей части блокираторов. Непонятно почему ведущие производители антивирусов это давно уже не внедрили?

 

Eset Smart Security vs Malware — 0:1

Сегодня принесли ноутбук с весёлой картинкой — по словам владельца заражение произошло вчера вечером (стоит Windows Vista с включенным UAC)^

После устранения заразы Windows спокойно запустилась и NOD бодренько отрапортовал о том, что всё хорошо:

По версии Лаборатории Касперского это был Trojan-Ransom.Win32.Birele.aouотчёт на VirusTotal.com (11 / 41).

Лжепрограммы и их сборки

Недавно читал заметку на Хабре про то как легко нынче потерять пароли и как антивирусы на этом смотрят «сквозь пальцы» — «Как элементарно обходятся антивирусы и их поведенческие анализаторы», и вот буквально сегодня мне выпала возможность проверить как это выглядит в реальности на схожем экземпляре. На форуме OSZone.net один товарищ разместил сообщение следующего вида:

Прошу прощения… Создал вот свою сборку на базе Оперы 11.60. Хотелось бы с вами ее поделиться…
Принцип сборки — 4 файла для запуска с разными параметрами и настройками…
Opera clear — для ребенка. Так называемый чистый интернет)))… Блокируются все (вы потом и скажете все или нет?!) сайты содержащие эротическую и порнографическую информацию, а так же нецензурную лексику… (если есть хоть одно матное слово — сайт будет блокирован!). По умолчанию ребенок добраться до включения не должен)))…. Кроме того подключено расширение WOT, с зарегистрированным пользователем Opera-CESS.
Opera extreme — полная версия. Насыщенная)))… Подключены расширения, которыми я лично пользуюсь. На мой взгляд ничего лишнего)))… Настроена панель под максимальное пространство…
Opera secure — типа безопасная)))… По умолчанию пароли не сохраняет, при выходе очищает всю историю, кэш и куки. Кроме того при запуске выдает ДВЕ вкладки — одна из которых ПРИВАТНАЯ!…(соответственно значками на вкладке сие можно заметить)… Расширений никаких нет.
Opera standart — Стандартная версия.

И в приложении две ссылки (кто захочет — тот найдёт), по которым скачивается файл OperaCESS_1.1.60.exe размером в 22 МБ (знают гады про то, что большая часть сервисов онлайн проверки на вирусы имеет ограничение в 20 МБ). Сам по себе он является самораспаковывающимся архивом 7z, в котором кроме оригинальной Opera (исполняемый файл которой сделан скрытым) есть ещё четыре весёлых файла:

Отсюда вывод, который повторяю всем и вся не первый раз — качайте программы только с официальных сайтов и никогда не пользуйтесь чужими самопальными сборками, в противном случае вас может ожидать, как нынче выражается молодёжь, печалька. 😉

Punto Switcher жжёт

Немного дико при установке новой версии Punto Switcher увидеть окно с подобным сообщением 🙂 :

Мне интересно — как такое вообще возможно и что курили разработчики. 🙂