Наблюдение за вымогателем

В очередной порции спама я обнаружил ссылки на некий сайт, предлагающий скачать различные программы совершенно бесплатно и с высокой скоростью. Скачав пяток самых мелких файлов и сдав их сайту VirusTotal.com, начал наблюдать за поведением антивирусов.

Первый же загруженный файл опознали как вредоносный сразу три продукта — DrWebIkarus и Malwarebytes. Второй файл (добавленный на VT через четыре минуты) и оставшиеся распознали уже семь антивирусов — добавился BitDefender и четыре продукта, использующие его движок: F-SecureGDataMicroWorld-eScan (которые отнекивались от его использования, заявляя о том, что в продукте работает их переписанный движок со своими базами ).

Но отдельно я решил понаблюдать только за последним из пяти загруженных файлов:

Из всего этого следует:

  • что DrWeb весьма оперативно обновляет свои базы
  • что BitDefender‘у в первую очередь сбрасывают подозрительные файлы с VirusTotal.com, который их сверхоперативно добавляет  в свою базу. Теперь можно смело говорить о том, что всё что загружено на VirusTotal.com появится в базах BitDefender через пять минут. 🙂
  • Сильно огорчил товарищ «Антивирус Касперского«, которому я скинул в вируслаб пару файлов и ссылку на сайт — сайт оперативно был занесён в раздел опасных и доступ к нему блокировался, а в двух файлах было найдено две разновидности Hoax.Win32.ArchSMS (что весьма странно — так как упаковывали их по одному принципу), а через пару дней Касперский вообще выдал мне вот такие результаты при проверке всех пяти файлов:

Screenshot - 25.02.2013 , 23_40_16

В пяти файлах с одинаковым зловредом он умудрился создать четыре (!!!) разновидности зловредов, относящихся к двум разным классам вредоносных программ. ну вот как это можно назвать?

Антивирус Касперского 2011

Замечаю, что с выходом каждой новой версии Антивируса Касперского продукт становится всё менее удобным, простым, легко настраиваемым и понимаемым. Вот как, например, понимать такое вот заявление:

Производилась проверка диска D по требования (компьютер ранее был заражён). В EXE-файле найдены два типа вредоносного ПО (кстати, заметьте что в качестве платформы указано WIN32 — 32-х разрядные операционные системы Windows) с помощью «проверки по базе подозрительных веб-адресов» !!! (процитировал дословно).

Вот объясните мне — как можно найти вредоносную программу (именно программу, а не скрипт или заражённую страницу) на жёстком диске с помощью проверки по базе подозрительных веб-адресов? Может я конечно что-то упустил и это так «обозвали» эффект работы Kaspersky Security Network (KSN), но что-то всё равно такая формулировка с логикой слабо вяжется.