Уважаемые пользователи, мы рады вам сообщить, что с 7 августа 2011 года с разработчиком было достигнута договоренность о размещении официального зеркала обновлений баз AVZ на нашем ресурсе.
В связи с тем, что старая версия AVZ (4,35) не умеет автоматически обновлять список зеркал, то это зеркало будет полноценно эксплуатироваться после выхода новой версии AVZ (4,37). Если нет возможности обновить базы AVZ при помощи зеркал обновлений «зашитых» в утилиту, то необходимо воспользоваться следующим скриптом:
В последнее время стало актуальным и по-своему модным изучение различных аспектов имеющихся на рынке антивирусов: скорости сканирования, ресурсоемкости, самозащиты, эффективности лечения и т.д. Не последним фактором, в свете растущего количества новых угроз, является скорость реагирования вирусных лабораторий на новые образцы зловредов.
Ранее проводились работы по оценки этой скорости реагирования с помощью таких сервисов, как VirusTotal. Однако эти работы имеют ряд недостатков:
;
нет уверенности, что некоторым вирусным лабораториям исследуемые образцы не попали по другим каналам с более высоким приоритетом и/или раньше по времени.
По этой причине наша команда решила попытаться выполнить эту работу самостоятельно, максимально снизив риск влияния посторонних факторов.
ПОДГОТОВКА ОБРАЗЦОВ
Основную проблему для выполнения подобного исследования представляет собой поиск вредоносного образца, ранее неизвестного антивирусным компаниям. Проблема сложная, её решение – создание вредоноса самостоятельно, что противоречит убеждениям настоящей команды исследователей, либо упаковка существующего образца неким новым пакером/криптором, ранее неизвестного вендорам. Последнее и было взято на вооружение.
Существует множество алгоритмов, реализуемых в пакерах/крипторах. Как правило, распаковка подобных файлов чрезвычайно сложна, а в ряде случаев – нецелесообразна, что приводит к появлению детектов типа Krap, Packed, Black.a и т.д., то есть образец детектируется по методу упаковки и характерным сигнатурам пакера, а не по вредоносному коду. С одной стороны – это приводит к сравнительно быстрому анализу и детектированию вредоносного кода со стороны вирусных лабораторий, а также снижению нагрузки на систему пользователя антивируса в ходе процесса распаковки, с другой – к многочисленным ложным срабатываниям на пиратские кейгены/патчи, авторы которых скрывают свои наработки от конкурентов с помощью таких же пакеров/крипторов.
Авторами разработан оригинальный алгоритм упаковки, позволяющий сбить сигнатуры, заключавшийся в следующем:
Образец дроппера упаковывался в архив одним из популярных архиваторов с шифрованием содержимого и заголовка архива.
В единый исполняемый файл упаковывался как архив, так и утилита для разархивирования и скрипт на командном языке Windows, запускающий разархивирование с искомым паролем в %temp%, а затем запускающий собственно дроппер.
Полученный файл упаковывался UPX. Детали обработки умышленно не публикуются по понятным причинам, однако заявляем, что работа по перепаковке одного образца не занимает более 1-2 минут.
В качестве исходных дропперов были выбраны образцы актуальных угроз: TDL4, GPCode.ax, Kolab и SpyEye 1.3. Для проверки ложного срабатывания аналогичным образом были упакованы файлы из дистрибутива Windows - regedit.exe, notepad.exe и cmd.exe.
Полученные экземпляры проверялись на физических (Windows XP Pro SP3 Rus с актуальными обновлениями) и виртуальных системах (та же система на VMWare Workstation 7.1.4 build 385536, хост – Windows 7 Ultimate SP1). Работоспособность образцов была подтверждена, в случае вредоносов система заражалась. Однако обращаем внимание на то, что несмотря на безусловную вредоносность полученных образцов, имеющийся на системе активный резидентный антивирус эффективно предотвращал заражение, своевременно детектируя распакованный дроппер и блокируя его последующий запуск. Системы HIPS также позволяют эффективно предотвратить заражение, однако для этого необходимо некоторое понимание происходящих процессов.
Подчёркиваем, что предлагаемая методика упаковки довольно убога, в реальности встречаются намного более успешные методы, позволяющие обойти как антивирус, так и HIPS. Однако, поставленную задачу – убрать детект – этот метод успешно выполнил и потому был применён в работе.
ХОД ИССЛЕДОВАНИЯ
Три различных перепакованных, как указано выше, образца вредоносов А, В, С и D, у которых расширение было изменено с "ехе" на "е_е" (за исключением образца D), были направлены в вирусные лаборатории по четырём каналам.
С корпоративного адреса на базе Google Mail s**orov< at >safezone.cc (буквы опущены во избежание спама) на vendors< at >malware-research.co.uk направлялся образец А, упакованный а zip-архив с паролем "infected" (здесь и далее пароли читать как без кавычек). В основе образца A был червь Kolab.
С корпоративного адреса на базе Google Mail iv**ov< at >safezone.cc (буквы опущены во избежание спама) на ящики вирусных лабораторий, указанные на официальных сайтах, направлялся образец В, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца B был троян SpyEye.
На официальных сайтах антивирусных компаний на соответствующих формах для сообщения о новой угрозе, был загружен образец С, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца С был дроппер TDL4. В качестве контактного адреса везде, где возможно, указывался корпоративный адрес на базе Google Mail p**rov< at >safezone.cc (буквы опущены во избежание спама).
В течение 2 недель тестировал вирусные лаборатории на предмет скорости и качества обслуживания. Под скоростью здесь понимается добавление заранее вредоносной программы в антивирусные базы, скорость реагирования, под качеством - ответы аналитиков или роботов - их информативность.
Инструменты и описания
В качестве основного субъективного инструмента использовался он-лайн сканер . Субъективного, поскольку все проверяемые файлы он отсылает в вирлабы и аналитики могли неглядя, добавить файл в базы, если файл определяется, как вредонос, большинством вендоров.
Файлы вредоносов рассылались вендорам через наиболее удобный вариант, а именно: .
На момент отправки файлы не определялись никем из тестируемых.
Участники
По понятным причинам не участвовали:
Dr.Web
Kaspersky
Сразу об аутсайдерах
Аутсайдерами стали те, кто не набрал плюсиков ни по одному из заявленных требований, не отвечал на так называемый "тикет" и добавлял вредоноса слишком поздно или не добавлял вообще.
Итак наши проигравшие:
F-PROT Antivirus
Ответа не получено, образец добавлен в базы более чем через неделю
F-Secure
Ответа не получено, образец добавлен в базы через 6 дней
Microsoft
Ответа не получено, образец добавлен в базы более чем через неделю
PC Tools
Ответа не получено, образец в базы не добавлен
А теперь по порядку
К сожалению у известного вендора, с поддержкой прямо-таки не очень. - Во-первых на сайте поддержки требуется регистрация. - Во-вторых сам сайт поддержки как-то криво переведен, по-русски тут почти нет полезной информации, или ее мало, а при переходе на английский, бывает, перекидывает на чешскую страницу. - В-третьих по выходным в центральной Европе не работают, поэтому при отправке образца в пятницу вечером, ответ Вы получите после обеда в понедельник. - В четвертых ответ малоинформативен, вроде: "Мы обнаружили, что Ваш файл заражен, его определение будет добавлено в следующую сборку антивирусных баз"
Единственным плюсом является просмотр статистики "тикета", по которому можно угадать, на каком этапе проходит анализ:
1. Принято службой поддержки 2. Передано вирусному аналитику 3. Ответ аналитика службе поддержки 4. Ответ службы поддержки Вам 5. Закрыто.
Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)
Сразу видно, что немцы педанты: по отправке тикета, Вам сразу придет письмо от робота, ссылкой на страницу, где можно просмотреть скупую статистику:
1. Идет анализ 2. Файл заражен (чист)
По выходным немцы тоже не работают и ситуация тут будет, как у вышеописанного Аваста. По итогу анализа тот же робот пришлет Вам писмо с ссылкой на результат.
Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)
А вот американцы, хоть и трудолюбивы, но не снисходят до того, чтобы отправить хоть какой-то ответ, зато файл в базы добавляют очень быстро (даже по выходным).
Итог: Файл добавлен в базу от 1 до 12 часов после отправки.
Австрийцы оказались похожи в плане ответа на американцев, то есть не ответили никак, но как все европейцы по выходным не работают и в базы ничего не добавляют. Плюсом является то, что все-таки добавленный файл, начинают определять многие другие вендоры - а значит либо базы общие, либо сигнатурами делятся.
Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)
А вот индусы порадовали, как не странно, и регистрацию тикета быстро подтвердили письмом от робота, и по добавлению в базы прислали письмо с названием вредоноса (а это был троян), и в выходные работают. Единственный минус не очень понятная форма, извиняюсь за тавталогию, самой формы, где нужно сначала выбрать посылку сэмпла, а потом указать много подробной информации.
Итог: Файл добавлен в базу на в течение суток.
Англичане из Софоса, в моем тесте заняли первое место, поскольку минусов всего 2:
1. Не очень удобная форма отправки, с избыточной информацией 2. Английский язык.
Но в остальном показали себя молодцами, вот 3 коротких, сухих и точных по-английски плюса.
1. Регистрация "тикета" и ответ робота мгновенный 2. Ответ с названием обнаруженного вредоноса. 3. Добавление в базы, в течение нескольких часов, даже по выходным.
Итог: Файл добавлен в базу от 3 до 6 часов после отправки.
Итоги
Первое место Sophos и eScan
Второе место COMODO (за скорость реагирования)
Третье место Avira
Четвертое место
аvast! и Emsisoft
Данный тест имеет все шансы стать постоянным. Следите за обновлениями, принимайте участие в обсуждении и тестировании на нашем форуме:
В течение 2 недель тестировал вирусные лаборатории на предмет скорости и качества обслуживания. Под скоростью здесь понимается добавление заранее вредоносной программы в антивирусные базы, скорость реагирования, под качеством — ответы аналитиков или роботов — их информативность.
Инструменты и описания
В качестве основного субъективного инструмента использовался он-лайн сканер . Субъективного, поскольку все проверяемые файлы он отсылает в вирлабы и аналитики могли неглядя, добавить файл в базы, если файл определяется, как вредонос, большинством вендоров.
Файлы вредоносов рассылались вендорам через наиболее удобный вариант, а именно: .
На момент отправки файлы не определялись никем из тестируемых.
Участники
По понятным причинам не участвовали:
Dr.Web
Kaspersky
Сразу об аутсайдерах
Аутсайдерами стали те, кто не набрал плюсиков ни по одному из заявленных требований, не отвечал на так называемый «тикет» и добавлял вредоноса слишком поздно или не добавлял вообще.
с 10,05 по 10.06.2011 г. ПРОВОДЯТ КОНКУРС, ПОСВЯЩЁННЫЙ ПРОДУКЦИИ КОМПАНИИ SafenSoft!
В течение месяца вы можете публиковать ваши статьи и видеообзоры, посвященные продуктам и , показывая не только преимущество данной продукции перед конкурентами, но и тонкости их настройки (рекомендуем сфокусироваться на фичах, преимуществах и инструкциях по тонкой настройке продуктов компании).
Номинации:
ЛУЧШИЙ ВИДЕО-ОБЗОР
ЛУЧШАЯ СТАТЬЯ
После окончания сроков конкурса жури, состоящее из представителей компании SafenSoft и портала SafeZone, в течение 3 недель объявит победителей и вручит им ценные призы по каждой из номинаций!
Призы: Призы: 1. Лицензия на 2 год на 2 ПК SafenSoft SysWatch PERSONAL 2. Лицензия на 1 год на 2 ПК SafenSoft SysWatch PERSONAL 3. Лицензия на 6 месяцев на 2 ПК SafenSoft SysWatch PERSONAL
________________________________
УСЛОВИЯ УЧАСТИЯ:
Принять участие в конкурсе может любой пользователь .
Размещать конкурсные работы нужно с 10 мая 2011 по 10 июня 2011 года.
Работы необходимо публиковать в разделе "», воспользовавшись при создании темы префиксом Конкурс. Прошу учесть, что в теме могут быть заданы вопросы по конкурсной работе, как жюри, так и пользователями.
Видео должно быть длиной не более 5 минут (рекомендуется не более 3 минут), размещённое на хостинге , так как форум поддерживает автоматическую трансляцию видео с этого видеохостинга. Проводить запись видео желательно при помощи (30 дневный триал).
Статьи могут быть объемом не более 7000 знаков (рекомендуется не более 3000 знаков).
Узнать более подробную информацию о конкурсе или задать свои вопросы, вы можете
Сегодня наткнулся на довольно интересный ресурс antivir2011.ru, который предлагает, нажав на одну кнопку, научить пользователя поставить 100% защиту многострадальной системы (отключи винт, выдерни процессор).
Цитата:
Ваши друзья получают СПАМ ОТ ВАС? Вам надоело, что Ваши аккаунты в одноклассниках, вконтакте или icq постоянно используются для рассылки спама? Здесь вы найдете простые пошаговые описания самых эффективных методов защиты от взлома вашего компьютера, а также научитесь быстро удалять любые вирусы. Благодаря этому, ваша личная информация будет защищена на все 100%.
Написано хорошо? Конечно, особенно, если немного напугать пользователя.
Мы все умрем! А из нас 14% - пассивные спамеры!!!
После нажатия на волшебную кнопку, которая нам сулит рай на земле (или как минимум 100% защиту компьютера), мы увидим данные, которые должны подтвердить серьёзность сервиса.
С гордостью сообщаем, что с 6 апреля 2011 года открылся ТРЕТИЙ КУРС ОБУЧЕНИЯ —«Основы анализа вредоносного программного обеспечения». ___________________________
Знания полученные в рамках этого курса позволят вам самостоятельно изучать поведение вредоносного ПО, анализировать неизвестные файлы и определять степень их вредоносности. Этот курс является ещё одной ступенью .
Подобранные задания разделены по сложности на три уровня:
ПЕРВЫЙ УРОВЕНЬ - простой, работу вредоносного ПО можно обнаружить довольно простым инструментарием.
ВТОРОЙ УРОВЕНЬ - подобранное вредоносное ПО частично блокирует работу программ, при котором обнаружить его активность гораздо сложнее.
ТРЕТИЙ УРОВЕНЬ - задание потребует не только умения анализировать состояние компьютера, но и анализировать имеющуюся информацию в Интернете.
___________________________
Для подачи заявки на третий курс необходимо:
Окончить и сдать практику.
Или подтвердить квалификацию, заручившись рекомендацией трёх членов .
Не далее чем вчера, попался мне в руки интересный заражённый файл .
Зловред оказался довольно вирулентным и за довольно короткий срок заразил не только исполняемые файлы на локальных дисках, но потянулся и к исполняемым файлам на сетевых папках и флешках.
Отметился он и в изменении настроек зон безопасности Internet Explorer:
Разрешать META REFRESH * ^ 1609
Разрешить запущенные сценарием окна без ограничений размеров и положения ** ^ 2103
Все чаще и чаще натыкаюсь при поиске в google рекламу в которой предлагается бесплатно скачать популярные бесплатные браузеры, но проблем бы не было никаких если бы ссылки не вели на бесплатный сервис .
Немного примеров (поиск занял всего пол минуты):
sites.google.com/site/rusopera11
sites.google.com/site/safetybrowse
sites.google.com/site/opera2011new - отмечаю особо… подробности будут ниже.
________________________________
Что же скачивается по ссылкам?
Скачивается браузер Opera (как правила) но с небольшим дополнением… для распаковки файлов необходимо заплатить немного денег.
Как видите детекта нет…. и не будет. ________________________________
Что роднит их кроме жадности к деньгам простого пользователя?
Для этого необходимо обратиться к выделенному мной сайту. Если внимательно посмотреть на ссылку на загрузку файла.
Цитата:
Что такое ZIPMONSTER? ZIPMONSTER — уникальное решение, позволяющее вебмастерам музыкальных и видео порталов, блогов, сайтов с программным обеспечением, банков рефератов и любых других сервисов зарабатывать на распространении файлов. Ключевой особенностью технологии является оплата ПОСЛЕ того, как пользователь скачал файл. Благодаря этому достигается высокая конвертация трафика и рост прибыли в несколько раз по сравнению с типичными файлообменниками!
Правила которого довольно скупы:
Цитата:
Мы лояльны к нашим партнерам и никак не ограничиваем архивируемые файлы. Единственным нашим условием является честность сотрудничества. При обнаружении мошеннических действий с использованием системы (например, продажа воздуха, обналичивание средств с мобильных телефонов, использование «матрешек» (многократная архивация файлов) и т.п.) - блокировка аккаунта без предупреждения и навсегда. Апелляции не принимаются.
Кроме того запрещена загрузка на наш файловый хостинг или продажа через нашу партнерскую программу архивов с детским порно, zoo, rape. В случае обнаружения таких действий — архив будет незамедлительно удален, а аккаунт вебмастера заблокирован без выплаты заработанных средств. Данные партнера, загрузившего запрещенные файлы могут быть незамедлительно переданы в правоохранительные органы. Файлы, ни разу не скачанные в течении месяца, будут удалены с нашего хостинга (вы сможете позже повторно закачать их с помощью нашей программы)
Также строго запрещена продажа adult-материалов с использованием paypal в качестве метода оплаты. Подобные нарушения также будут пресекаться путём блокирования аккаунта без выплаты заработанных средств.
________________________________
Будьте внимательны и не попадайтесь на подобные попытки обмануть себя. Берите софт на официальных ресурсах.
FlashRestore - это утилита для восстановления файлов на съёмных носителях после заражения Worm.Win32.Radminer
Описание:
В результате заражения системы вирусами, не редко бывает, что вся информация на съёмных носителях пропадает, т.е. файлов и папок на съёмном носителе вроде нет, но размер занятого места остаётся прежним. На самом деле, вирус создаёт на съёмном носителе скрытый каталог "..», в который перемещает все файлы и папки из корня съёмного диска. Такую папку нельзя увидеть с помощью стандартных средств системы.
Данная утилита поможет вам определить наличие этой папки на съёмном носителе и восстановить спрятанные файлы.
Примечание:
Перед началом работы данной утилиты, вы должны очистить систему от вирусов! В противном случае, вы рискуете потерять данные из скрытой папки.
Скачать утилиту и задать вопрос разработчику можно в
В общем кратенькое вступление, есть такие вирусы которые создают на флешке копии исполнимых файлов, равных имени папке в которой они находятся и если папок много то Name_Folder.exe будет столько же, где Name_Folder это имя папки в которой находится исполняемый файл. Пример отобраных файлов виден на скрине.
Мне всегда было интересно как с этим бороться, на случаях которые я встречал раньше, я просто отключал автозапус с флешки и поиском по маске .exe через Total Comander выискивал все такие файлы и удалял их(конечно вручную, это было ради интереса). Современные антивирусы детектируют такую гадость. В моём случае, содержимое флешки не скрывалось. Но вот узнал что такой вирус прячет содержимое флешки, и при этом ты ничего не видишь на флешке, но размер показывает что содержимое есть и никуда не делось. Как с этим бороться? Вернее, как отобразить содержимое флешки? Можно вручную
«Лаборатория Касперского» представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер:
()
мобильная версия сервиса
Для продвинутых пользователей «Лаборатория Касперского» предлагает несколько способов борьбы с программами-вымогателями:
Удаление вымогателя вида
»«В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в «Shell"=»C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe». На других машинах этот параметр может быть немного другим “»
Вы попали на страницу сообщества, посвящённую ресурсу .
Немного о нас:
- это ресурс, посвящённый быстрой и бесплатной помощи пользователям в удалении вредоносного ПО, но это всего лишь одна из сторон столь многогранного направления ресурса. Мы продолжаем развиваться сами и делимся знаниями и умениями, со всеми кому нужна наша помощь или интересна тематика форума:
На базе ресурса VirusNet давно и плодотворно работает . Обучение проводится специалистами и проходит в три этапа, в процессе которых, в индивидуальной работе, раскрываются как стандартные методики удаления вредоносного кода с применением стандартной связки утилит AVZ и Random's System Information Tool, так и при помощи широкого спектра альтернативных утилит OTL by OldTimer, OTM by OldTimer, ComboFix, Avenger, которые позволяют более полно получить информацию и более гибко подойти к процессу лечения.
Мы не стоим на месте, стремимся к сотрудничеству и взаимодействию с разработчиками тех утилит, которые используем в лечении и обучении на форуме:
Мы первые в рунете достигли соглашения с разработчикомRandom's System Information Tool (RSIT) и результатом нашего сотрудничества стал русскоязычный перевод утилиты и создание на мощностях официального
Мы единственный ресурс на территории Рунета, который имеет официальную поддержку разработчиков утилиты ComboFix.
Развиваясь, мы пришли к идее объединения не только пользователей на одном ресурсе, а создание целого сообщества ресурсов и специалистов разных областей, для создания единого фронта борьбы с информационными угрозами на территории Рунета. Так родилась и живёт включая в себя следующие ресурсы:
«Костяк» Ассоциации составляют специалисты высокого класса, которые прошли обучение на базе школы VirusNet, а также приглашённые эксперты с других ресурсов, обеспечивая быстрое и профессиональное оказание помощи при проблемах с персональным компьютером, связанных с проникновением вредоносного ПО.
14:04
А из нас 14% - пассивные спамеры!!!
