Фотография
Оценка:   * * * * * 2 Голосов

Хороший антивирус


Сообщений в теме: 171

#31 steepz

steepz

  • Супер Модератор
  • 6 668 сообщений

Отправлено 08 мая 2008 - 19:21

В докторе всегда был хороший распаковщик, но доверия все равно не внушает.

#32 pepsi

pepsi

    да наверна

  • Тролли
  • 4 750 сообщений

Отправлено 10 мая 2008 - 11:58

аццкая весчь Win32.Ntldrbot. Начитался уже за неё...
доктор радует

Сообщение отредактировал pepsi: 10 мая 2008 - 12:02

Кто не осваивает науки - тот осваивает Сибирь

#33 Morfei

Morfei

    Новичок

  • Пропользователь
  • PipPipPip
  • 169 сообщений

Отправлено 11 мая 2008 - 01:25

Доктор неплохой. Просто был инцидент с ними. После этого уважение пропало нарочь. На вкус и чвет товарищей нет. А еще если посмотреть отзывы по нету то DrWeb прям начинает вируся находить до их появления. А не пишут ли они их сами? Не удивлюсь если так.

Инцидент с DrWeb:
Скачал файлик проверил ничего, запустил и "вуаля" есть спидозина. Отправляю им файл пишу типа посмотрите мужики помоему нехорошее чтото там. Они мне пишут ответ "Да уважаемый типа нашли там целых три вируса, ну и названия перечисляют. Теперь типа можете обновиться и все у вас будет хокей. Я обновляюсь и правда находит 3 штучкикоторые EXE - ник пытаетси создать. Ну я рад весь. Проходит 3 дня (естественно DrWeb после этого обновлялси несколько раз) попадается на глаза снова этот архив дай думаю просканю, проверяю и ничего. Ну думаю мож что с распаковкой. Распаковываю и снова ничего. Ну думаю в наглую запущу его та и будь, что будет. запускаю и вуаля "спидоносный" комп в наличии. Писал им несколько раз и в итоге сказали что им некогда пишите потом. Это как понимать?...

Поэтому лучше всеми проверять комп которые есть.

Ах да наскоко я знаю DrWeb вообще провалил последние тесты. NOD32 занял 2 место так что возможно не NOD плохой, а мы просто не умеем его готовить.

Сообщение отредактировал s7eepz: 11 августа 2008 - 18:23


#34 kaktus

kaktus

    пингвиновод

    Автор темы
  • Пропользователь
  • PipPipPipPip
  • 362 сообщений

Отправлено 11 мая 2008 - 01:48

... NOD32 занял 2 место...

Судя по твоей логике, имя которой "тут то-то не так, копэц!" (про изготовление дрвэбом вирусов) - нод просто заплатил больше

зы: антивирус который нужно готовить - не нужен!

Сообщение отредактировал кактус: 11 мая 2008 - 01:51


#35 Nforcer

Nforcer

    Гуру

  • Заблокированный
  • 3 272 сообщений

Отправлено 11 мая 2008 - 02:01

Приобрел лицензию на доктора, рад результатами.
Trust No 1

#36 Кисска

Кисска

    Участник форума

  • Пропользователь
  • PipPipPipPip
  • 296 сообщений

Отправлено 11 мая 2008 - 04:06

AVG этот гоняли гдет с полгода на нескольких машинах, пока пара не сдохла, после чего они были просканированы другим антивирем(макафи), как результат -тонна вирусов. Так что AVG лучче и не пробовать.

#37 STAREC

STAREC

    АЛХИМИК

  • Пропользователь
  • 2 630 сообщений

Отправлено 11 мая 2008 - 10:50

NOD32 Вобще нельзя назвать антивирусом так как он чисто сканет и находит вируса но не убивает их.

это когда руки из попы растут=) и лень лазить и настраивать профиля=)
пользуюзь только НОД32 как и Кактус в свое время проверял так вот НОД все фиксил,
а астольные тупо НОЛЬ.
не зря он бренд года получал не за красивые же глаза!

#38 kaktus

kaktus

    пингвиновод

    Автор темы
  • Пропользователь
  • PipPipPipPip
  • 362 сообщений

Отправлено 11 мая 2008 - 15:54

не зря он бренд года получал не за красивые же глаза!

ключевое слово "получал". эх, была бы в НОДе кнопка "оправдывать надежды хозяев"

#39 balumba

balumba

    Всезнайка

  • Пропользователь
  • 1 760 сообщений

Отправлено 12 мая 2008 - 18:55

пользуюсь KIS 7 и никаких проблем не разу не было.
а пользовался другими антивирями - были.
тоже как то херь подцепил - она мылила без перерыва, так вот ее нашел и убил только KIS

#40 mangust

mangust

    Участник форума

  • Пропользователь
  • PipPipPipPip
  • 304 сообщений

Отправлено 12 мая 2008 - 20:00

это когда руки из попы растут=) и лень лазить и настраивать профиля=)
пользуюзь только НОД32 как и Кактус в свое время проверял так вот НОД все фиксил,
а астольные тупо НОЛЬ.
не зря он бренд года получал не за красивые же глаза!


Подскажи с настройками. Я проверю свои. А то недавностал пользоваться. Лазить в настройках лазил.. Но проверить не помешает. СПС!

#41 NikeFM

NikeFM

    Почетный участник

  • Пропользователь
  • 1 107 сообщений

Отправлено 14 мая 2008 - 11:12

NOD32v2 3077 2008.05.06 -

вторая версия нода и правда ничего не ловит. если пользоваться, то 3 версией!
Разработка Веб сайтов http://wws-net.ruБайкал-ТТК группа Вконтакте

#42 krendel

krendel

    Активный участник

  • Пропользователь
  • PipPipPipPipPip
  • 952 сообщений

Отправлено 19 мая 2008 - 14:41

Червь ВКонтакте

Социальные сети, такие как facebook, MySpace, Orkut и т.д., являются одними из наиболее популярных сетевых ресурсов современного Интернета. Фактически, именно они олицетворяют собой то, что называется Web 2.0.

Авторы вредоносных программ уже обратили свое внимание на социальные сети. Некоторые сети уже становились объектами атак, в том числе нацеленных на получение персональных пользовательских данных.

В России среди социальных сетей наибольшей популярностью пользуются проекты ВКонтакте.ру, Одноклассники.ru и LiveJournal.

Мы обнаружили сетевого червя Rovud, который распространяется среди пользователей системы VKontakte.

Первый вариант червя был задетектирован рано утром 16 мая. Принцип его действия достаточно прост, но вместе с тем оригинален.

Тело червя размещено на одном из сайтов (возможно, взломанном) под именем deti.jpg. Для первого варианта червя ссылка имела вид:

http://Roland.misecure.com/deti.jpg

На самом деле, при клике на ссылку загружался не файл с изображением, а исполняемый файл.

Будучи запущенным на компьютере, червь ищет cookies пользователя ВКонтакте, после чего использует их для соединения с сайтом и начинает рассылать вредоносную ссылку всем «контактам» зараженного пользователя.

Если кто-нибудь из получателей проследует по ссылке, загрузит и запустит файл, цикл заражения повторится, и теперь уже «контакты» новой жертвы также получат опасную ссылку.

Работа червя сопровождается визуальными эффектами. При запуске он показывает на экране картинку:

Кроме того, червь обладает деструктивной функцией. 25 числа он должен вывести на экран следующий текст:

После чего червь начнет удалять файлы на компьютере жертвы.

Несмотря на то, что первый вариант червя достаточно быстро был обнаружен и другими антивирусными компаниями, а служба поддержки «ВКонтакте» была проинформирована об инциденте, остановить эпидемию за один день не удалось.

Неизвестные авторы червя изменили формат ссылки на зараженный сайт, которая посылается контактам жертвы, и таким образом смогли инициировать новую волну эпидемии. Очевидно, что администрация ВКонтакте просто программно запретила сообщения со ссылкой на файл deti.jpg. Авторы червя очень элегантно обошли это «ограничение».

Вариант Rovud.c рассылал ссылку:

http://vkontakte.ru/...=htt%...6ed.mi%
09%73%65%09%63%75%72%65%2e%63%6f%6d%2f%64%65%74%69%2e%6a%70%67

В результате нажатия на нее пользователь перенаправлялся все на тот же самый сайт http://roland.misecure.com/deti.scr.

Новый вариант - Rovud.c - был обнаружен утром 17 мая и в настоящее время количество обращений от пользователей, обнаруживших его «вредоносные» ссылки в своих учетных данных ВКонтакте, значительно превышает число запросов, связанных с первой версией червя!

Что еще более интересно – у этого червя существует предыстория. Дело в том, что за день до его появления, по Рунету прошлая массовая волна фишинговой атаки. Ее целью являлась «накрутка» рейтинга некоего пользователя:

Вконтакте.ру начинает розыгрыш призов, а также гарантированный бонус в размере +300% к Вашему текущему рейтингу.

Для получения бонуса и участия в розыгрыше призов — отправьте бесплатное СМС с текстом: id10682124 на номер 4449



С уважением,

Администрация Вконтакте.ру


Такое SMS просто поднимет рейтинг пользователя с указанным id. И разумеется, оно не бесплатное – стоимость отправленного сообщения составляет $0.30 без НДС.

В тот же день личная страничка данного пользователя была удалена администрацией ВКонтакте. А на следующий день появился червь Rovud, обыгрывающий тему с повышением рейтинга и подписывающий сообщение об «уничтожении компьютера» именем Павла Дурова, создателя проекта ВКонтакте.

Что это – просто месть «обиженных» хакеров или же некая продуманная атака против ВКонтакте, призванная подорвать его репутацию и снизить число пользователей, мы не знаем.

На момент написания этого поста файл червя уже был удален с сайта, с которого происходило его распространение. Однако это не исключает того, что в ближайшее время в Рунете появится очередной вариант Rovud.
"Россия безразлична к жизни человека и к течению времени.Она безмолвна. Она вечна. Она несокрушима..." Томас Карлейль.

#43 kaktus

kaktus

    пингвиновод

    Автор темы
  • Пропользователь
  • PipPipPipPip
  • 362 сообщений

Отправлено 24 мая 2008 - 11:21

Антивирус 	 Версия 	   Обновление	 Результат
-----------------------------------------------------------------
AhnLab-V3 2008.5.22.1 2008.05.22 -
AntiVir 7.8.0.19 2008.05.22 TR/Dldr.Zlob.NMO
Authentium 5.1.0.4 2008.05.21 -
Avast 4.8.1195.0 2008.05.22 -
AVG 7.5.0.516 2008.05.22 Downloader.Zlob.ZV
BitDefender 7.2 2008.05.22 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.22 Trojan.Zlob-4837
DrWeb 4.44.0.09170 2008.05.22 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5812 2008.05.22 -
Ewido 4.0 2008.05.22 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.22 Trojan-Downloader.Win32.Zlob.eie
Fortinet 3.14.0.0 2008.05.22 -
GData 2.0.7306.1023 2008.05.22 Trojan-Downloader.Win32.Zlob.eie
Ikarus T3.1.1.26.0 2008.05.22 -
Kaspersky 7.0.0.125 2008.05.22 Trojan-Downloader.Win32.Zlob.eie
McAfee 5300 2008.05.21 -
Microsoft 1.3520 2008.05.22 -
NOD32v2 3121 2008.05.22 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.22 -
Prevx1 V2 2008.05.22 -
Rising 20.45.32.00 2008.05.22 -
Sophos 4.29.0 2008.05.22 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.22 -
TheHacker 6.2.92.316 2008.05.22 Trojan/Downloader.Zlob.eie
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.22 -
Webwasher-G 6.6.2 2008.05.22 Trojan.Dldr.Zlob.NMO


#44 krendel

krendel

    Активный участник

  • Пропользователь
  • PipPipPipPipPip
  • 952 сообщений

Отправлено 24 мая 2008 - 12:30

Служба вирусного мониторинга компании «Доктор Веб» зафиксировала массовую рассылку писем, адресованных пользователям социальной сети «Одноклассники». В письмах содержится ссылка на сайт, посетив который пользователь может заразить компьютер.

Рассылка писем производится от разных пользователей, в том числе от имени некой "Глории Чернявской, Россия, Москва Возраст: 22 года".

"Привет, Роман(Антон, Виталий) :)
Увидела твою анкету в списке "Друзей моих друзей" и решила попросить тебя о небольшом одолжении.
Дело в том, что я участвую в конкурсе красоты "Мисс Рунет" и мне очень нужна поддержка. Если тебя не затруднит, зайди пожалуйста на сайт конкурса и проголосуй за меня.
http://miss-***************
голосование абсолютно бесплатно, достаточно нажать на ссылку "Отдать свой голос".
Победа в данном конкурсе для меня очень много значит, иначе бы я не стала обращаться с подобной просьбой. Заранее благодарю за помощь."
По указанной ссылке (адрес модицифирован) открывается окно с фотографиями претендентки и отзывами людей, якобы уже проголосовавших за нее.



При нажатии на ссылку "Отдать свой голос" предлагается скачать файл fire-codec5107.exe (по классификации Dr.Web Trojan.MulDrop.16008). Будучи скачанным, троянец помещает на жесткий диск компьютера жертвы файлы notepad2.exe (BackDoor.Mbot), reebsd2.exe (Trojan.DnsChange) и сalc2.exe (Trojan.DnsChange). Инфицирование компьютера производится с целью использования его для последующих спам-рассылок.
Как видно интерес к социальным сетям у вирусописателей не ослабевает. «Социальные сети представляют особую ценность для таких атак в силу многочисленности потенциальных жертв», – комментирует Генеральный директор компании «Доктор Веб» Борис Шаров. «Подобные атаки чаще всего связаны с попытками мошенничества. Также во время таких атак оттачиваются «мастерство» и техники вирусописателей. Нередко целью атаки служит завладение компьютером и превращение его в одно из звеньев бот-сети с целью дальнейшей рассылки спама. Во всех перечисленных случаях, за атаками стоят коммерческие интересы и немалые деньги».

Мне приходило такое письмо,только имя другое было.

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, предупреждает об угрозе потери в воскресенье, 25 мая, всех персональных данных на компьютерах пользователей социальной сети «ВКонтакте», чьи ПК оказались зараженными сетевым червем Rovud.

Социальная сеть «ВКонтакте», в которой зарегистрировано более десяти миллионов пользователей, подверглась атаке сетевого червя Rovud утром 16 мая. Следующая более мощная волна распространения новой модификации червя произошла 17 мая. Несмотря на то, что вредоносная программа была оперативно обнаружена, а ее сигнатура добавлена в базу обновлений всех антивирусных продуктов «Лаборатории Касперского», опасность массовой активизации деструктивного функционала червя на незащищенных антивирусными решениями компьютерах остается высокой.


Компания «Доктор Веб» – российский разработчик средств информационной безопасности под маркой Dr.Web – напоминает пользователям, что 25 мая в 10 утра, а также 25 числа каждого месяца начинается срабатывание деструктивной функции червя Win32.HLLW.AntiDurov.
В результате его действия начнется удаление всех файлов с диска C.


Сообщение отредактировал krendel: 24 мая 2008 - 12:32

"Россия безразлична к жизни человека и к течению времени.Она безмолвна. Она вечна. Она несокрушима..." Томас Карлейль.

#45 loky

loky

    Новичок

  • Пропользователь
  • PipPipPip
  • 84 сообщений

Отправлено 24 мая 2008 - 12:46

я не буду больше заходиьна однокласснику .ру )))

#46 Polkovnik

Polkovnik

    Житель форума

  • Пропользователь
  • 2 964 сообщений

Отправлено 28 мая 2008 - 17:22

Мдааа, я в шоке... Скачал файл кактус'а и Дохтор сразу на него заругался, и еще какую-то гадость нашел... Скачал на системе, где НОД стоит, ноль внимания, даже при глубоком сканировании... О как...

Сообщение отредактировал Polkovnik: 28 мая 2008 - 17:23

Если у Вас железное здоровье и стальные нервы - вас не закопают, а сдадут в металлолом!Берегите себя!

#47 doping82

doping82

    Редкий гость

  • Пропользователь
  • Pip
  • 1 сообщений

Отправлено 28 мая 2008 - 18:26

фуфло все это, сколько ставил антивир у одного ключи, либо глючные, либо на месяц, либо на него нет зеркал обновления,
А вообше очень понравилась ПАНДА, он у мну стоял долго пока не закончилась лицензия,
ДЫК он сразу блокировал прогу, пытающуюся подключиться к инет, выдавая запрос разрешыть или как.
заблокировал знакомому доступ, а он хотел глянуть че на компе.

НАДО ДУМАТЬ СВОЕЙ ГОЛОВОЙ!!!

#48 Icemen

Icemen

    Я не флудер

  • Пропользователь
  • 4 450 сообщений

Отправлено 28 мая 2008 - 18:43

ДЫК он сразу блокировал прогу, пытающуюся подключиться к инет, выдавая запрос разрешыть или как.
заблокировал знакомому доступ, а он хотел глянуть че на компе.


Вообще-то такими делами занимаются брандмауэры, которые частенько просто входят в комплект с антивирусом. Например Kaspersky Internet Security: антивирус+антиспамер+брандмауэр

#49 steepz

steepz

  • Супер Модератор
  • 6 668 сообщений

Отправлено 28 мая 2008 - 20:25

фуфло все это, сколько ставил антивир у одного ключи, либо глючные, либо на месяц, либо на него нет зеркал обновления,


Чушь написал какую-то. Нормальные антивирусы имеют обновления. Хочешь пользоваться - купи ключ.

Сообщение отредактировал steepz: 28 мая 2008 - 20:27


#50 pepsi

pepsi

    да наверна

  • Тролли
  • 4 750 сообщений

Отправлено 28 мая 2008 - 21:28

фуфло все это, сколько ставил антивир у одного ключи, либо глючные, либо на месяц, либо на него нет зеркал обновления,
А вообше очень понравилась ПАНДА, он у мну стоял долго пока не закончилась лицензия,
ДЫК он сразу блокировал прогу, пытающуюся подключиться к инет, выдавая запрос разрешыть или как.
заблокировал знакомому доступ, а он хотел глянуть че на компе.

отлично, когда антивирус за тебя думает. поржал

НАДО ДУМАТЬ СВОЕЙ ГОЛОВОЙ!!!

вот именно. думай своей головой, прежде, чем выбрать антивирус и купить лицензию
Кто не осваивает науки - тот осваивает Сибирь

#51 Troyan

Troyan

    Почетный участник

  • Пропользователь
  • 1 080 сообщений

Отправлено 28 мая 2008 - 21:53

Нод 32 самый кул!! Обновляется сам через НОИП. Мне нравится ИМХО :)
Jonathan/"Requiem"/K.

#52 NeGaTuV

NeGaTuV

    Активный участник

  • Пропользователь
  • PipPipPipPipPip
  • 580 сообщений

Отправлено 29 мая 2008 - 00:07

Avast 4.8.1169.0 2008.05.05 -а вот тут я не соглашусь вчера тоже в инете лазил (у миня аваст стоит) и нашел Trojan.Win32 !!!!!
сила-----

#53 wizza

wizza

    Чуткий форумчанин

  • Тролли
  • 1 572 сообщений

Отправлено 31 мая 2008 - 12:12

Аваст вирус который выложил Кактус определяет как Win32:JunkPoly [Cryp]
Маленький секрет - при проверке ставьте уровень сканирования в "Тщательный"

—Сорок два! — взвизгнул Лунккуоол. -И это всё, что ты можешь сказать после семи с половиной миллионов лет работы?


#54 kaktus

kaktus

    пингвиновод

    Автор темы
  • Пропользователь
  • PipPipPipPip
  • 362 сообщений

Отправлено 31 мая 2008 - 14:52

wizza, а про второй маленький секрет знаешь ? про то, что прошло 25 дней с момента топикстарта... авасты - молодцы! :)

#55 kaktus

kaktus

    пингвиновод

    Автор темы
  • Пропользователь
  • PipPipPipPip
  • 362 сообщений

Отправлено 04 июня 2008 - 14:06



#56 pepsi

pepsi

    да наверна

  • Тролли
  • 4 750 сообщений

Отправлено 05 июня 2008 - 13:03

вирус-то боян вроде как? ldpinch, muldrop. Это ж када было?
Кто не осваивает науки - тот осваивает Сибирь

#57 kaktus

kaktus

    пингвиновод

    Автор темы
  • Пропользователь
  • PipPipPipPip
  • 362 сообщений

Отправлено 05 июня 2008 - 13:28

вирус-то боян вроде как? ldpinch, muldrop. Это ж када было?

pepsi, ключевая фраза "Это ж када было?" А воз и ныне там... (ц)

#58 pepsi

pepsi

    да наверна

  • Тролли
  • 4 750 сообщений

Отправлено 05 июня 2008 - 13:50

А воз и ныне там... (ц)

да уж. "хороший антивирус" жжот
Кто не осваивает науки - тот осваивает Сибирь

#59 steepz

steepz

  • Супер Модератор
  • 6 668 сообщений

Отправлено 05 июня 2008 - 16:14

Касперы написали про rustock. Однако

«Неуловимый» руткит

В декабре 2006 года в некоторых кругах исследователей проблемы руткитов (как blackhat, так и whitehat) стали циркулировать слухи о том, что кем-то создан и выпущен в свет «абсолютно неуловимый руткит» — Rustock.С, — который при активном заражении не способно обнаружить ни одно из существующих антивирусных или антируткит-решений.

Длительные поиски «мифического руткита» не увенчались успехом. Это привело к тому, что любая информация о «Rustock.С» стала восприниматься в около-исследовательских кругах как шутка. Такое положение вещей сохранялось вплоть до мая 2008 года.

Диагноз «Доктора»

В начале мая антивирусная индустрия услышала от российской компании DrWeb неприятную и сенсационную новость — ее специалистами был обнаружен руткит Ntldrbot, он же Rustock.С.

Согласно заявлению представителей DrWeb, этот руткит с октября 2007 года оставался неуловимым для всех антивирусных компаний. Выдвигалось предположение, что при помощи Rustock.C была создана одна из самых мощных на сегодняшний момент зомби-сетей, предназначенная для спам-рассылок.

Приводились и ссылки на результаты исследования компании Secure Works, согласно которым бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Отметим, что вряд ли оценки Secure Works имели какое-то отношение к найденному руткиту, поскольку он фактически был неизвестен до мая 2008 года. Скорее всего, эксперты Secure Works имели в виду сеть, созданную ранними вариантами Rustock — А и B (по классификации «Лаборатории Касперского» — Costrat и SpamTool.Win32.Mailbot).

Судя по опубликованной DrWeb информации, образец настоящего Rustock.С попал в руки специалистов компании в конце марта 2008 года, а на анализ кода руткита, создание и выпуск средств его детектирования и лечения им потребовалось более месяца. Только после этого о находке были извещены и другие антивирусные компании.

Описание руткита, сделанное DrWeb, оставляло слишком много белых пятен. И, в первую очередь, было абсолютно непонятно, каким способом и когда распространялся этот руткит, и почему с октября 2007 года он так и не был никем обнаружен.

Образец тела руткита, распространенный сотрудниками DrWeb, представлял собой драйвер операционной системы Windows размером 244 448 байт.

К сожалению, отсутствовал так называемый «дроппер» — файл, который бы производил установку руткита в систему. Его наличие могло бы значительно облегчить работу других антивирусных лабораторий в анализе и добавлении собственных процедур обнаружения и лечения Rustock.С, а также помогло бы ответить на вопрос о способах изначального распространения руткита.

Отсутствовала также любая достоверная информация о наличии данного руткита в «дикой природе». Оставалась вероятность того, что Rustock.С является исключительно «коллекционной» разработкой и не имеет широкого распространения в мире — в таком случае был бы оправдан столь долгий период его поисков.

Лабораторный анализ


«Лаборатория Касперского» приступила к детальному анализу кода руткита 12 мая. Задача, стоявшая перед нашими экспертами, была действительно сложной. Код руткита был полностью зашифрован неизвестным способом и не поддавался обычным методам анализа упакованного кода и эмуляции. Проблема осложнялась еще и тем, что каждый файл руткита имел некую привязку к аппаратной части зараженного компьютера и не мог быть запущен и проанализирован на других компьютерах и виртуальных машинах.

Однако нашим специалистам удалось за два дня справиться с этими сложностями и, подобрав «ключ», расшифровать значительную часть тела руткита. Вечером 14 мая нашему взору предстали участки настоящего кода Rustock.С.



Параллельно с решением этой сложной технической проблемы нами предпринимались попытки обнаружить файл, который устанавливал руткит в систему. Это позволило бы не только значительно ускорить процесс анализа, но и установить источники распространения Rustock.С.

В результате проведенного исследования нами было обнаружено 599 файлов Rustock.С. Часть из них представляла собой так называемое «чистое тело руткита», а часть являлась зараженными системными драйверами. Фактически все файлы были результатом полиморфного изменения одного и того же кода.

Когда был создан руткит

Итак, мы обладали шестью сотнями файлов, которые отличались размерами и датами поступления на наши ловушки-сборщики файлов. Все найденные файлы попали в ловушки в период с 10 сентября 2007 года по 14 мая 2008 года. Забегая вперед, скажу, что в итоге ни одного образца Rustock.С, созданного ранее сентября 2007 года, нами так и не было обнаружено. Не исключено, что до этого момента действительно могли появляться какие-то более ранние его варианты — тестовые разработки и «пробы пера» автора. Но то, что DrWeb окрестил Ntldrbot, имеет совершенно четкую дату рождения — сентябрь 2007 года.

Как же быть с пресловутыми слухами о Rustock.С, относящимися еще к концу 2006 года? Мы считаем, что в то время никакого Rustock.С не существовало. Он был создан уже после своеобразного «PR» в кругах исследователей руткитов — возможно, как реакция на истерию с его поисками. Косвенно этот вывод может подтверждаться и тем фактом, что код руткита содержит самоназвание «Rustock.С», что идет вразрез с тем названием, которое ранее давал вариантам Rustock.A и B сам автор («spambot» и номера версий). Название «Rustock» было дано компанией Symantec первым вариантам руткита, датированным 2005 и 2006 годами. Именно оно было принято в среде исследователей проблемы руткитов, и по аналогии с уже известными ранее вариантами Rustock.A и .B «неуловимый» руткит именовался Rustock.С. Так что назвать свой новый руткит именно так автор мог в подтверждение слухов о его существовании.

Так или иначе, первые «рабочие» образцы Rustock.С появились в сентябре 2007 года, а его разработка, очевидно, началась за несколько месяцев до этого.

Модификации

Анализ 599 файлов выявил много интересных деталей, о которых ранее не было известно.

В первую очередь, нами было классифицировано 4 модификации Rustock.С.

Вариант С1 — мы датируем его создание 10-м сентября 2007 года. «Чистое тело» руткита имеет размер 244 440 — 244 512 байт и содержит драйвер и DLL. Именно эта модификация была исследована специалистами DrWeb и представлена другим антивирусным компаниям.

Вариант С2 относится к 26 сентября. Имеет размер 158 432 — 158 464 байт.

Варианты C3 и С4 относятся к 9-10 октября 2008 года. Их размер варьирует в пределах 158 400 — 158 496 байт.

Несмотря на то, что модификация С1 отличается от последующих почти на 100кб, принципиальных различий между ними нет. Автор лишь несколько оптимизировал алгоритм обфускации тела руткита. Все варианты имеют незначительные отличия, касающиеся изменений в коде DLL (спам-бота).

Спам-бот

В течение 5 дней исследований нами был проведен анализ руткита, руткит был полностью распакован и запущен на виртуальных машинах (без наличия у нас «дроппера»). Это позволило получить доступ и к коду DLL (спам-бота), существование и защита которой является основной целью Rustock.С.



В ходе своей работы руткит извлекает DLL из себя и исполняет ее в системной памяти, внедряя в процесс winlogon.exe. Данная DLL никогда не существует в виде файла на диске и присутствует только в памяти компьютера. Ее задача — рассылка спама с зараженного компьютера. Для выполнения этой задачи она обращается к серверу 208.66.194.215 и получает оттуда шаблоны писем для рассылки. IP-адрес принадлежит американскому хостинг-провайдеру MCCOLO, на ресурсах которого уже довольно давно размещаются и вредоносные программы, и сайты киберпреступных группировок.

Детектирование и лечение

Несмотря на примененные автором средства защиты тела Rustock.С (протектор, криптор, ключ шифрования), с точки зрения добавления детектирования данного руткита в антивирусные базы «Лаборатории Касперского» не было никаких проблем. Складывается впечатление, что автор был настолько уверен в эффективности шифрования своего творения, что не придавал большого значения методам противодействия антивирусным продуктам. Его целью было максимально осложнить и отсрочить анализ кода (как антивирусными компаниями, так и представителями вирусописательских кругов) — именно на это были нацелены все крипто-технологии руткита.

Чуть сложнее обстоит дело с лечением зараженных руткитом системных файлов. Принцип действия руткита основан на заражении только драйверов Windows, созданных Microsoft и загружающихся при старте операционной системы. Именно таким образом он получал управление и успешно скрывал свое присутствие в системе. Оригинальный зараженный драйвер хранился в последней секции тела руткита и также был зашифрован.

Алгоритм, которым руткит шифровал тело зараженного драйвера, оказался довольно простым и не зависел от аппаратной части зараженного компьютера. Это позволило нам реализовать детектирование и полноценное лечение зараженных файлов.

Руткит был классифицирован как Virus.Win32.Rustock.a. Именно как вирус — поскольку Rustock является полноценным файловым вирусом, работающим в режиме ядра операционной системы.

Процедуры детектирования и лечения зараженных файлов были выпущены «Лабораторией Касперского» 20 мая 2008 года (через 8 дней после начала исследования).

Возможность детектирования активного руткита в зараженной системе и лечения зараженных файлов полностью реализована в новой версии нашего антивируса — KAV\KIS 2009. Пользователи других версий могут проверить свои компьютеры на наличие Rustock при помощи Rescue Disk с любой версией нашего антивируса. Они также могут обнаружить и вылечить подозрительные файлы при отсутствии активного заражения.

Вопросы и ответы

Казалось бы, задача решена — руткит повержен, и его жертвы могут получить надежное решение для выявления и устранения проблемы. Однако специалисты «Лаборатории Касперского» не собирались останавливаться на достигнутом.

По-прежнему оставались открытыми главные вопросы — как распространялся Rustock, и действительно ли он находится в «дикой природе»? Найти ответы на эти вопросы и расставить все недостающие точки над i, было для нас делом чести.

Распространение Rustock

В течение нескольких дней все имеющиеся у нас файлы руткита подвергались детальному анализу на предмет установления их «аппаратных настроек». Это могло дать хотя бы приблизительное представление о масштабах распространения Rustock. Все данные сопоставлялись с датами обнаружения самплов.

Выяснилось, что 590 из 599 самплов попали в наши ловушки с 10 сентября по 23 ноября 2007 года. И только 9 — в период с 23 ноября 2007 года до середины мая 2008 года.

Эта статистика использовалась для сужения объектов поиска и выстраивания зависимостей между файлами и известными нам четырьмя модификациям руткита.

Картина получилась следующая:


С 17 октября по 12 ноября 2007 года не было зафиксировано ни одного случая появления Rustock. Однако с 12 ноября по 22 ноября отмечен новый всплеск активности, причем в основном относящийся именно к варианту C2 (от 26 сентября) с незначительными добавлениями вариантов C3 и C4.

С 23 ноября 2007 года наступает долгий многомесячный период затишья (или «смерти» Rustock?).

Данные были весьма интересны, но все равно масштабы и способы распространения Rustock оставались неизвестными. Несмотря на все усилия, так и не был обнаружен «дроппер» руткита.

Но, в конце концов, удача нам улыбнулась. Было дополнительно обнаружено еще более 500 файлов руткита, и именно они дали нам все недостающие звенья цепи.

Ботнет

Наши выводы о начале активного распространения Rustock 10 сентября 2007 года полностью подтвердились. Мы знаем в деталях как, с каких серверов он загружался и как устанавливался в системы. Есть у нас ответы и на вопрос «а где же дроппер?», и на вопрос «действительно ли пользователи антивирусных продуктов были беззащитны перед «неуловимым» руткитом, который распространялся минимум три месяца?».

К сожалению, способ и каналы распространения Rustock заставят поволноваться многих экспертов информационной безопасности.

Несколько слов, хорошо известных любому антивирусному эксперту:
CoolWebSearch / IFrameBiz / Trafficadvance / LoadAdv.

Да, мы в очередной раз столкнулись с одной из самых известных киберпреступных группировок в Интернете, с которой ассоциируются вышеперечисленные названия. Все они относятся к их сайтам и их вредоносным программам. Банда существует как минимум с начала 2004 года и активна в настоящий момент. Самыми известными и получившими широкое распространение творениями группировки были такие троянцы, как Harnig, Tibs, Femad, LoadAdv и различные модификации Trojan-Downloader.Agent и Small, а также троянец Inject.

Эти умельцы всегда оказывались в авангарде всех вирусных новшеств — в свое время именно они первыми стали массово использовать троянские загрузчики в chm-файлах, именно на их серверах были обнаружены первые варианты эксплоитов уязвимостей в обработке ANI и ICO-файлов. Они использовали троянские программы, написанные на Java (Trojan-Downloader.Java.ClassLoader), и они же задали моду на использование скриптовых загрузчиков.

«Фирменным» признаком группировки IFrameBiz долгое время были домены в зоне .biz и имена файлов вида loadadv*.exe.

Следы этой группы ведут в Россию. Большинство ее членов, несомненно, проживает именно здесь. На ранних стадиях своего существования группа активно использовала хостинг-ресурсы в Санкт-Петербурге. Также было отмечено ее взаимодействие с печально известной сетью RBN (Russia Business Network), которую многие эксперты также связывают с этим городом.

За 4 года существования группа создала одну из мощнейших систем распространения вредоносных программ. Ее ботнет, основанный на миллионах зараженных различными загрузчиками (в первую очередь Tibs и Femad) компьютеров, способен загрузить на инфицированные машины любую новую вредоносную программу в течение короткого периода времени. Именно такой способ сейчас является эффективной альтернативой рассылкам вредоносного кода по электронной почте, с которыми антивирусная индустрия давно и успешно научилась бороться.

Ботнет IFrameBiz активно используется как плацдарм для распространения новых вредоносных программ. Заказчик оплачивает период времени, в течение которого его троянская программа будет распространяться при помощи ботнета. После чего и начинается ее «заливка». Зачастую один и тот же загрузчик (например, Tibs) устанавливает сразу несколько троянцев от разных заказчиков. Услуга пользуется спросом и даже на одновременное выполнение заказов нескольких клиентов заказчики закрывают глаза.

К услугам IFrameBiz прибегали и прибегают как создатели множества Adware-программ, так и желающие создать свой собственный ботнет, спамеры, организаторы DDoS-атак и так далее. Если проводить параллели все с той же RBN, то можно сказать, что RBN — это аппаратная и техническая часть бизнеса вирусописателей, а IFrameBiz — программная начинка и пусковая кнопка для великого множества современных вредоносных программ.

Именно к IFrameBiz и обратились летом 2007 года авторы руткита Rustock с заказом на его распространение. Однако, либо троянцы IframeBiz были не способны незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей и технологий. Для «заливки» по каналам IFrameBiz был создан совершенно отдельный модуль!

Реконструкция событий

Рассмотрим на конкретном примере, что и как происходило в конце сентября 2007 года на одном из зараженных компьютеров, входящих в ботнет IFrameBiz.

Установленный в систему загрузчик (вероятно Tibs) обращается к одному из серверов ботнета в зоне .hk (Хорватия — домены в этой зоне стали использоваться группой в 2007 году) и пытается загрузить файл loadadv351.exe.

Данный файл является усовершенствованным модулем все того же ботнета. По классификации «Лаборатории Касперского», это Trojan.Win32.Inject.mt. Название отражает суть действий вредоносной программы — она внедряет («инжектирует») себя в процесс Explorer.exe, обходя, таким образом, многие сетевые экраны, и получает возможность для бесконтрольной загрузки файлов в систему.

Троянец отсылает на серверы IFrameBiz информацию об успешной установке и получает приказы — какие файлы и откуда ему следует загружать. Так работает своеобразная система статистики ботнета, позволяющая его владельцам вести учет успешных загрузок вредоносных программ и предоставлять заказчикам отчеты.

Троянец загружает в систему несколько файлов с разных серверов — либо принадлежащих заказчикам, либо с используемых ими ресурсов на серверах IFrameBiz. В рассматриваемом случае файлы загружаются с ресурсов клиентов, арендованных ими у IFrameBiz (http:// *.biz/progs/*). Одновременно производится сбор и отправка данных о зараженном компьютере — операционной системе, жестком диске и прочее. Эти данные нужны для учета состояния бот-сети, ее географического распределения и так далее.

Итак, в системе появляются еще несколько файлов, из которых нас интересуют два — назовем их «1.exe» и «2.exe». Сейчас наше внимание будет направленно на 1.exe (к файлу 2.exe мы вернемся позже).

Это еще один загрузчик, однако весьма необычный. Первый его образец был обнаружен «Лабораторией Касперского» 10 сентября 2007 года — в тот же день, когда появились первые варианты Rustock. Это совпадение уже не кажется удивительным, не правда ли? С того же дня этот загрузчик детектировался нами как Trojan-Downloader.Win32.Agent.ddl.

Эта вредоносная программа содержит в себе драйвер, который загружается в ядро операционной системы. (Фактически, мы уже имеем дело с руткитом!) Код драйвера зашифрован с использованием сложного алгоритма шифрования, очень напоминающего алгоритм, использованный при шифровании Rustock.

Снятие всех слоев защиты с драйвера приводит нас к самому интересному: это программа-загрузчик Rustock, не менее «мифическая», чем сам руткит.



Недостающее звено

Если про руткит слухи ходили еще с декабря 2006 года, то первое и единственное упоминание о загрузчике и самом факте его существования относится к концу октября 2007 года — спустя почти два месяца после того, как он был обнаружен и добавлен в наши антивирусные базы. Стоит ли говорить о том, что в свете «неуловимости» к тому моменту самого Rustock.C никто и не задумывался о существовании его программы-загрузчика.

Однако даже после детектирования Rustock.С, когда возникла необходимость в обнаружении его «дроппера», некоторые антивирусные компании остановились на достигнутом, ограничившись добавлением детектирования руткита. Они не стали тратить время на выяснение того, как руткит попадал на компьютеры и действительно ли пользователи были беззащитны перед «неуловимым руткитом»?

Ответ очевиден. Начиная с 10 сентября 2007 года, с первого же дня распространения через ботнет IFrameBiz руткита Rustock.С, «Антивирус Касперского» детектировал его «разносчика» — Trojan-Downloader.Win32.Agent.ddl. Позже детектирование этого троянца появилось еще у целого ряда антивирусных компаний.

В течение нескольких месяцев уберечь машины пользователей от заражения «неуловимым» руткитом могло только своевременное детектирование его загрузчика.

К сожалению, даже в настоящие время (начало июня 2008 года) некоторые антивирусные продукты по-прежнему не ловят Agent.ddl.

Загрузчик

Как было отмечено выше, троянец состоит из двух компонент — основного тела и драйвера. Драйвер собирает информацию о системе: идентификаторы производителя и модель устройств на материнской плате, дату установки и точную версию операционной системы. Затем эта информация зашифровывается и пересылается на сервер автора (или заказчиков) Rustock: 208.66.194.215.

Содержимое буфера, передаваемого на сервер в зашифрованном (TEA) виде:
TSC, Bridge0, Bridge1, InstallDate, Version, ProductID.

Сервер, на который идет отправка данных (208.66.194.215), тот же самый, который мы уже видели в DLL (спам-боте) руткита — именно оттуда Rustock получает письма для рассылки. Однако метод взаимодействия драйвера загрузчика с сервером отличается от метода, использованного в спам-боте.

Драйвер Agent.ddl работает с виртуальным устройством TCP/IP напрямую из нулевого кольца, в результате чего исходящий с машины трафик при активном заражении невозможно обнаружить с помощью некоторых снифферов/межсетевых экранов. Agent.ddl устанавливает соединение на 443 порт, пытаясь замаскировать данные под пакеты протокола HTTPS. В результате исследователь, даже перехватив трафик на шлюзе, не сразу поймет, что это никакой не HTTPS, а просто зашифрованные данные, собранные на зараженном компьютере.

Вот пример пакета с зараженной машины, который выдавался за HTTPS данные:


При этом ключ шифрования изменяется при каждом новом запуске драйвера. Сложность обнаружения достигается тем, что внешний наблюдатель не знает алгоритма и ключа шифрования.

Следует отметить что авторы троянца-загрузчика явно старались максимально усложнить жизнь исследователям кода драйвера.

IP-адрес центрального сервера, как и порт, по которому будет обращаться драйвер, «вшиты» в тело программы, так чтобы скрыть их явное представление:
push 00000BB01; порт — 443
push 0E00C04E1
sub d,[esp],00849C211; Разность равна 0xD7C242D0, т.е. IP-адресу 208.66.194.215


Авторы поработали и над обфускацией кода. Например, простая операция
mov [eax], ecx


после обфускации выглядит так:
push ebx
mov ebx, 0x03451b8c
sub ebx,eax
sub ebx, 0x03451b8c
neg ebx
mov [ebx], ecx
pop ebx


Одна инструкция заменялась на семь. Можно вообразить, что из себя представляют остальные «внутренности» драйвера!

Вернемся к сетевой коммуникации. Итак, вредоносный код отправлял пакет с данными о зараженном компьютере. В ответ на эти данные сервер предположительно отвечал файлом, специально зашифрованным для данной машины — с ключем, соответствующим оборудованию обратившегося компьютера.

Таким образом, авторы решают проблему дроппера, который мог бы быть обнаружен, исследован, запущен и при наличии которого у исследователей сразу решаются проблемы подбора ключа шифрования для анализа кода руткита.

Сгенерированный файл руткита, «чистое тело», загружается на компьютер-жертву, где Agent.ddl производит его активацию в системе. Rustock.C заражает свой первый системный драйвер и еще одним компьютером в новом спам-ботнете становится больше.

В данный момент сервер блокируется. Все пакеты, идущие к нему, фильтруются сетевыми маршрутизаторами. Должно быть, компетентные органы уже заинтересовались упомянутым IP-адресом.

Вот именно таким способом и происходило распространение «неуловимого» Rustock.

Заключение

Реконструкция событий, выполненная нашими экспертами, доказывает факт активного распространения данного руткита в сентябре-ноябре 2007 года. С одной стороны, использованная для этого сеть IFrameBiz могла обеспечить ему действительно широкое распространение. С другой стороны, приведенные факты показывают, что «неуловимость» руткита была вызвана исключительно высоким уровнем шифрования его кода и использованием множества анти-отладочных приемов, затруднявших его анализ для большинства экспертов.

Руткит был у антивирусных компаний со дня его появления «в дикой природе». Его активность при установке в систему и компоненты, отвечавшие за его установку и распространение, столь же давно и успешно обнаруживались почти всеми антивирусными продуктами, за редким исключением. Его появление в системе могло быть перехвачено на самой ранней стадии при помощи несложных средств мониторинга изменений файловой системы.

Все это происходило с Rustock десятки раз, но детальный анализ его кода был сделан только в мае 2008 года.

Rustock.С действительно существует, и это не миф. А вот его «неуловимость» — миф, базирующийся не на каких-то реализованных в рутките сверхъестественных принципах сокрытия себя в системе, а, скорее, все на тех же слухах, появившихся еще в конце 2006 года и играющих на руку только авторам вредоносной программы.

Любой руткит, создаваемый с учетом существующих средств детектирования, будет обходить защиту, которую эти средства обеспечивают. Война на уровне ядра операционной системы, в конечном итоге, сводится к решению одного вопроса: кто раньше получит управление — руткит или анти-руткит.

Целью автора Rustock было не создание недетектируемого в принципе руткита, а максимальное усложнение процесса анализа руткита после того, как он будет обнаружен. Именно это могло обеспечить некий временной выигрыш между периодом распространения и началом детектирования вредоносной программы.

Фактически, остается неясным только один вопрос: почему автор Rustock прекратил в середине октября 2007 года совершенствование руткита и выпуск его новых версий? Не означает ли это, что он занялся созданием нового проекта, и, возможно, где-то уже существует «Rustock.D»?

Ответа у нас нет. Как бы то ни было, сам факт существования одной единственной вредоносной программы, даже остававшейся недетектируемой в течение нескольких месяцев, нисколько не влияет на появление каждый день тысяч других вредоносных программ, успешно уничтожаемых антивирусной индустрией.

До тех пор, пока в Интернете продолжают существовать IframeBiz и аналогичные ей группы, ответственные за ежедневное распространение сотен новых вредоносных программ, за многочисленные взломы веб-сайтов и десятки эпидемий, праздновать успех в одной локальной победе никак нельзя.

P.S. Выше мы писали о том, что Trojan.Win32.Inject.mt устанавливал в систему два файла — 1.exe и 2.exe. Мы не рассказали о том, чем же был второй файл.

Он был очередным вариантом троянца-шпиона Sinowal. Тем самым Sinowal, который спустя пару месяцев после описываемых событий превратился в еще одну головную боль для антивирусных компаний и вошел в историю как «буткит».

И Rustock, и Sinowal распространялись одновременно и через один и тот же ботнет. Новые версии Rustock перестали появляться в середине октября 2007 года. Первые образцы «буткита» были обнаружены спустя месяц — в ноябре 2007 года.

Просто совпадение?

Возможно, мы когда-нибудь узнаем ответ и на этот вопрос.
Источники:
Лаборатория Касперского

#60 Bekk

Bekk

    δήμος

  • Модератор
  • 6 416 сообщений

Отправлено 27 июня 2008 - 15:59

не знаю сюда ли надо писать. каждый день кав 7 каспер дает вирус один и тот же. Trojan-Downloader.Win32.VB.bnp вопрос как от него избавиться и откуда он приходит

http://www.viruslist...amp;referer=kav



Ответить