VIPRE Rescue Scanner или я потратил своё время зря

На одном сайте увидел очередной фейк спасательную утилиту VIPRE Rescue Scanner. Она служит для лечения и не имеет gui, а работает из консоли. Вот и захотелось проверить лечение этим сканером. Для заражения используем:

• Trojan.Win32.SkynetRef.o
• Trojan.Win32.TDSS.imhq
• Trojan.Win32.Sasfis.crun
• Worm.Win32.Ngrbot.ieb
• Trojan-FakeAV.Win32.Antivirii.a 
• Trojan.Win32.AntiAV.omt

Система Win 7 x32. Заражение не из лёгких. Зловред SkynetRef установил параметры прокси-сервера:

Также имеется навязчивый фейк:

Вся картина заражения за исключением MBR:

Запускаем и распаковываем утилиту. Вскоре сканирование было завершено:

 Ребут и смотрим, что осталось:

А также остались параметры прокси-сервера, созданные вредоносом.

Вывод: утилиту нельзя рассматривать как средство борьбы со сложными вредоносными программами, также доставляет отсутствие gui и очень медленная скорость санирования.
В общем, фтопку :)))

Troll Picture #1 or Symantec sucks at TDL Bootkit

С сегодняшнего дня буду прикалываться над вендорами, указывая их слабые места:) И первая epic picture:

И пользуясь случаем хочу сказать, что я съебал с продуктов Symantec.

Norton DNS

Собственно сабж. У Symantec есть весьма приличный сервис Norton DNS, который обеспечивает защиту сети от опасных или нежелательных веб-сайтов. Можно настроить как на уровне роутера, так и на уровне отдельного ПК. Существуют три уровня защиты (A,B,C).
A - защита от ресурсов, содержащих малварь, фишинг и прокси.
B - защита A + блокировка ресурсов, содержащих порнуху.
С - защита A + B + блокировка ресурсов, нежелательных для семейного посещения.
Для каждого уровня идут соответственно разные DNS (основной + альтернативный).
Я бы рад у себя их использовать, но так как работаю часто с ресурсами, содержащими малварь, то  не могу себе этого позволить из-за банальной блокировки :)
Кстати, вот схемка работы центров этих DNS, по-моему вполне солидно :)

Подробнее на официальной странице.

Мысли о malware classification of Symantec

Короче сегодня столкнулся на форуме КЛС с тем, что народ нифига не шарит в классификации и распределении вредоносных программ по терминологии Symantec. Она (терминология) и вправду ебанутенькая слегка.Очень много распределений по облачным и эвристическим детектам. На досуге напишу мануальчик по этому поводу.

Norton LiveUpdate спустя продолжительное время

Сегодня заметил странную вещь с обновлением баз в продуктах Norton. В общем надо было мне проверить кое-что на виртуальной машине с продуктом NIS 2012, нужна была актуальность баз и запустил я обновление. Последний раз базы обновлялись 15 ноября и следственно накопиться до большого размера у обновлений не было шанса. Запустил я обновление и охренел:

Откуда 135 метров? Это что ещё за вашу мать???
Теперь немного мыслей, почему так. Возможно, дело в том, что произошла пересборка баз (такое возможно, потому что в Symantec шлёпают сигнатуры хер знает как и обновы вырастают до большого размера время от времени). В принципе рядовым пользователям такое не грозит, потому что базы обновляются регулярно и постепенно. А вот  в ситуациях, когда обновление происходит очень редко, некоторым грозит жопа, особенно, у кого слабый инет. Ну, кроме как бесоёбией, я это явление назвать не могу.

Говно-сборки дистрибутивов от ESET Russia

Предыдущие две записи в блоге были без матов, но сегодня эта традиция вновь нарушится. На днях пришлось скачать дистрибутив последней версии антивируса ESET и я ещё раз убедился, что российское представительство ESET выкладывает не нормальные дистрибутивы, а полную хуету или уёбищные сборки. Почему же так? Да потому что установщики шлёпаются самопально, без цифровой подписи и плюс напихано много хуеты, такой как: Яндекс-бар и какой-то блять архиватор. Короче вот скрин:

Дальше интересней. За следующее предложение "покупки с помощью СМС" их дистрибутивы можно добавлять в базы, как Hoax.MSIL.ArchSMS.

И главное, что размеры дистрибутива после этих "накачек" всякого гавна возрастают примерно на 30 мб. Так что лучше качать с eset.com и не париться.

Тест и сравнение утилит для удаления руткита ZeroAccess aka Sirefef/MAX++

Сегодня захотелось проверить на эффективность утилиты от известных (и не очень) вендоров для удаления руткита ZeroAccess/Sirefef/MAX++.
В тестировании примут участие следующие утилиты:

• Webroot Zeroaccess Remover
• ESET Sirefef Remover
• Trojan.Zeroaccess Removal Tool from Symantec
• ZeroAccess Removal Tool from BitDefender
• Dr.Web CureIt! (универсальная лечащая утилита)
• HitmanPro 3.6 (универсальный облачный сканер)
• Kaspersky TDSSKiller (универсальная анти-руткит утилита)

Ну что ж, поехали! Сначала заражаем нашу тестовую систему (W7 32 bit) свежим семплом данного руткита. Проверка на VT. Вот активная заражённая служба:

 И заражённый драйвер:

Начинаем с Webroot Zeroaccess Remover. Запускаем, сканируем и результаты:

После перезагрузки система чиста. Webroot Zeroaccess Remover справился на отлично.


Идём дальше. Запускаем утилиту от ESET. В своей статье они рекомендуют делать это в безопасном режиме с поддержкой сети, что мы и сделаем. Результаты:

После перезагрузки системы руткит стал не активен, но служба осталась в системе, а также создался новый драйвер cdrom.sys:

ESET Sirefef Remover провалил тест, всего лишь нейтрализовав руткита и оставив его составляющие в системе.


Следующая утилита  Trojan.Zeroaccess Removal Tool от Symantec.  Запускаем и уходим на перезагрузку. После рестарта системы был обнаружен драйвер и успешно нейтрализован:

 Но руткит остался полностью активным. Новый драйвер и активная служба:

 Утилита от Symantec с треском провалила тест.


Далее утилита  ZeroAccess Removal Tool от BitDefender. Запускаем и epic fail:

 Проверяем утилиту Dr.Web CureIt!. Она обладает режимом усиленной защиты- то, что нам надо.

 Результаты великолепные, руткит полностью уничтожен:

Тестируем HitmanPro 3.6. Обнаружен и удалён только драйвер, а  служба активна:

И наконец, утилита от ЛК- Kaspersky TDSSKiller.
Результаты на высоте:

И вот таблица для визуального восприятия выше описанного ;)