Говно-сборки дистрибутивов от ESET Russia

Предыдущие две записи в блоге были без матов, но сегодня эта традиция вновь нарушится. На днях пришлось скачать дистрибутив последней версии антивируса ESET и я ещё раз убедился, что российское представительство ESET выкладывает не нормальные дистрибутивы, а полную хуету или уёбищные сборки. Почему же так? Да потому что установщики шлёпаются самопально, без цифровой подписи и плюс напихано много хуеты, такой как: Яндекс-бар и какой-то блять архиватор. Короче вот скрин:

Дальше интересней. За следующее предложение "покупки с помощью СМС" их дистрибутивы можно добавлять в базы, как Hoax.MSIL.ArchSMS.

И главное, что размеры дистрибутива после этих "накачек" всякого гавна возрастают примерно на 30 мб. Так что лучше качать с eset.com и не париться.

Тест и сравнение утилит для удаления руткита ZeroAccess aka Sirefef/MAX++

Сегодня захотелось проверить на эффективность утилиты от известных (и не очень) вендоров для удаления руткита ZeroAccess/Sirefef/MAX++.
В тестировании примут участие следующие утилиты:

• Webroot Zeroaccess Remover
• ESET Sirefef Remover
• Trojan.Zeroaccess Removal Tool from Symantec
• ZeroAccess Removal Tool from BitDefender
• Dr.Web CureIt! (универсальная лечащая утилита)
• HitmanPro 3.6 (универсальный облачный сканер)
• Kaspersky TDSSKiller (универсальная анти-руткит утилита)

Ну что ж, поехали! Сначала заражаем нашу тестовую систему (W7 32 bit) свежим семплом данного руткита. Проверка на VT. Вот активная заражённая служба:

 И заражённый драйвер:

Начинаем с Webroot Zeroaccess Remover. Запускаем, сканируем и результаты:

После перезагрузки система чиста. Webroot Zeroaccess Remover справился на отлично.


Идём дальше. Запускаем утилиту от ESET. В своей статье они рекомендуют делать это в безопасном режиме с поддержкой сети, что мы и сделаем. Результаты:

После перезагрузки системы руткит стал не активен, но служба осталась в системе, а также создался новый драйвер cdrom.sys:

ESET Sirefef Remover провалил тест, всего лишь нейтрализовав руткита и оставив его составляющие в системе.


Следующая утилита  Trojan.Zeroaccess Removal Tool от Symantec.  Запускаем и уходим на перезагрузку. После рестарта системы был обнаружен драйвер и успешно нейтрализован:

 Но руткит остался полностью активным. Новый драйвер и активная служба:

 Утилита от Symantec с треском провалила тест.


Далее утилита  ZeroAccess Removal Tool от BitDefender. Запускаем и epic fail:

 Проверяем утилиту Dr.Web CureIt!. Она обладает режимом усиленной защиты- то, что нам надо.

 Результаты великолепные, руткит полностью уничтожен:

Тестируем HitmanPro 3.6. Обнаружен и удалён только драйвер, а  служба активна:

И наконец, утилита от ЛК- Kaspersky TDSSKiller.
Результаты на высоте:

И вот таблица для визуального восприятия выше описанного ;)

Norton IS 2012 vs Mayachok aka Trojan.Zatvex, Trojan.Cidox

Как-то недавно при тестировании Нортона наткнулся на семпл, который не определялся им сигнатурно и каждый раз при запуске системы Нортон удалял какую-то dll'ку проактивной защитой SONAR. Как оказалось, это был Trojan.Mayachok, темы про которого сейчас гремят на форумах. Изменилась ли ситуация сейчас? Может ли Нортон удалить этого зловреда? Сегодня это проверим.
Сначала заразим систему. Для заражения я использовал одну из свежих модификаций (Kaspersky - Trojan-Ransom.Win32.Cidox.aex, MD5:95ec7e6f96c47a417819adaea1d59ffb). Результаты проверки на VT. Запускаем образец, система тут же уходит в ребут. Но перед этим зловред уже совершил действия, а именно:
1.Троян сначала  проверил права на изменения в реестре по пути: HKLM\Software\Microsoft\Windows NT\CurrentVersion
2.Нашёл расположения системной папки Windows.
3.Cоздал вредоносную библиотеку (.dll) в system32.
4.Зарегистрировался в реестре для автоматического запуска при старте системы - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Результаты проверки dll'ки на VT.
Система запустилась и зловред загрузил свою библиотеку в пространство каждого процесса.
К слову, на реальной системе у меня тоже установлен NIS 2012 и система предотвращения вторжений сразу заблокировала атаку:

Устанавливаем NIS, обновляем продукт и запускаем быструю проверку системы. Хе-хе, поспешил я. Продукт был установлен и сразу же вылез алерт о найденной угрозе, для удаления потребовалась перезагрузка и в итоге смотрим журнал антивиря:

Ну что ж? Отличный результат. Удалена библиотека и запись о запуске.

UPD: через несколько минут после написания статьи ко мне попал более свежий семпл.
MD5: c12b9bb31130e65f0280c06d1f9fbc7a. Проверка образца на VT. (4/43)
Название dll'ки то же, но файл совсем другой.
MD5: e549a345f7c3382ef701ac5eebc5679e. Проверка образца на VT. (5/43)
NIS уничтожил его проактивной защитой SONAR, удалив библиотеку и запись о запуске.

HitmanPro 3.6 - полёт нормальный.

Сегодня, а точнее уже вчера, зарелизили, наверное, уже всем известную тулзу для борьбы с малварью HitmanPro 3.6. Не буду копипастить улучшения и нововведения в данной версии. Кто заинтересован- можно прочесть тут. Основное усовершенствование в данной версии-добавлены функции сканирования на наличие остатков вредоносных программ. То есть удаление ключей реестра и папок от малвари. Пиздаболия ли это? Проверим. Для этого я заразил систему в пух и прах. Вот активные вредоносные процессы, которые видны в CCE:

Как видно, проц загружен нахуй под 100%. Загружают его процессы от IE, который запущен в скрытом режиме от пользователя. Ну и хуле? Завершаем и всё. А хуй там было. Процессы тут же восстанавливаются. Тут воспользуемся фичей, которая есть в HitmanPro-Force Breach Mode. Что это за фича? Читаем тут. В двух словах: помогает запустить HitmanPro, когда этому препятствует малварь. Как?- Выгружаются нахуй все активные процессы, без которых система может спокойно обходиться (даже explorer.exe). Итак, запускаем Хитман. Видим, что 7 процессов были посланы (сами знаете куда).

Сканирование прошло всего лишь за 55 секунд. Было обнаружено множество малвари, в том числе и руткит TDL4 aka TDSS. Очистка и уходим в ребут. 

Система загружена, в активных процессах -clean, MBR тоже clean. Напоследок пройдёмся сканером Malwarebytes' Anti-Malware, у которого не херовый нюх на ключи реестра и папки от зловредов. Оказывается, не всё так гуд.

Также стоит заметить, что HitmanPro не бесплатен и для работы требуется активное подключение к инету (всё-таки облачный сканер как никак).

Безграмотные продавцы-ололошки или avast!Market

Ха-ха. Не спится мне что-то. Но ведь надо же кого-то пообсирать. Скачал последний билд всеми хвалёного бесплатного ав продукта Avast!Free 6.0.1367. Давненько я над ним не издевался на виртуальной машине. Первым делом отправился лазить по интерфейсу.  Как раз в последнем билде в продукт  была добавлена вкладка Avast!Market. Это просто ебаный стыд. Нищеброды предлагают свои услуги и убивают нахуй своими гениальными формулировками. Ниже прилагаю скрин блеать:

Оказывается, avast! IS теперь самое продвинутое ав решение на сегодняшний день. Не знал. Лол.

О их волшебном rescue диске я промолчу. Наверное, уже все знают, что файловые полиморфы посылают avast нахуй, то есть никакого лечения в классическом понимании. А качество перевода интерфейса, вы оцените сами. Оно стоит этого.

Norton 360 6.0.0.141 beta. What the fuck?

Сегодня в паблик выложили очередной билд бетки N360 v.6. Разрабы обычно сразу отписываются об обнаруженных ошибках и багах в версии. Но сегодня написали, что на данный момент нет известных проблем. Конечно же, всё это пиздаболия чистой воды. Стоило блеать мне установить эту версию и открыть IE 9, чтобы получить двухнедельный ключик для тестирования, как браузер сразу ушёл на хуй и циклически падал. Но блеать! Я ведь только стал заполнять адрес мыла на официальном сайте Norton Beta Center. Мозги ебут как всегда плагины. С ними всегда были хуёвые проблемы в бета-версиях.

Кстати, в N360 исправлена недоработка с интеллектуальными описаниями. Кто не в теме- см. справку. Так вот, в NIS 2012 эти базы страшно ебали мозг и не могли удалять малварь даже с рабочего стола. Авер нагло предлагал почитать справку, пересканировать или добавить в исключение. К счастью, в N360 этого уже нет.

Первое сообщение мля! :)

Сегодня решился вести свой собственный блог. Ну а если честно, то учётка зарегана уже давно (летом что ли). Каковы причины вести отдельный блог? Да просто заебала цензура на обычных форумах и все остальные маски (да-да, это пишет админ КЛС, ну пока я админ вроде бы :) ). Вообщем скоро приведу в порядок внешний вид блога и всю остальную хуету. Ну для первого раза как-то так.