VIPRE Rescue Scanner или я потратил своё время зря

На одном сайте увидел очередной фейк спасательную утилиту VIPRE Rescue Scanner. Она служит для лечения и не имеет gui, а работает из консоли. Вот и захотелось проверить лечение этим сканером. Для заражения используем:

• Trojan.Win32.SkynetRef.o
• Trojan.Win32.TDSS.imhq
• Trojan.Win32.Sasfis.crun
• Worm.Win32.Ngrbot.ieb
• Trojan-FakeAV.Win32.Antivirii.a 
• Trojan.Win32.AntiAV.omt

Система Win 7 x32. Заражение не из лёгких. Зловред SkynetRef установил параметры прокси-сервера:

Также имеется навязчивый фейк:

Вся картина заражения за исключением MBR:

Запускаем и распаковываем утилиту. Вскоре сканирование было завершено:

 Ребут и смотрим, что осталось:

А также остались параметры прокси-сервера, созданные вредоносом.

Вывод: утилиту нельзя рассматривать как средство борьбы со сложными вредоносными программами, также доставляет отсутствие gui и очень медленная скорость санирования.
В общем, фтопку :)))

Troll Picture #1 or Symantec sucks at TDL Bootkit

С сегодняшнего дня буду прикалываться над вендорами, указывая их слабые места:) И первая epic picture:

И пользуясь случаем хочу сказать, что я съебал с продуктов Symantec.

Norton DNS

Собственно сабж. У Symantec есть весьма приличный сервис Norton DNS, который обеспечивает защиту сети от опасных или нежелательных веб-сайтов. Можно настроить как на уровне роутера, так и на уровне отдельного ПК. Существуют три уровня защиты (A,B,C).
A - защита от ресурсов, содержащих малварь, фишинг и прокси.
B - защита A + блокировка ресурсов, содержащих порнуху.
С - защита A + B + блокировка ресурсов, нежелательных для семейного посещения.
Для каждого уровня идут соответственно разные DNS (основной + альтернативный).
Я бы рад у себя их использовать, но так как работаю часто с ресурсами, содержащими малварь, то  не могу себе этого позволить из-за банальной блокировки :)
Кстати, вот схемка работы центров этих DNS, по-моему вполне солидно :)

Подробнее на официальной странице.

Мысли о malware classification of Symantec

Короче сегодня столкнулся на форуме КЛС с тем, что народ нифига не шарит в классификации и распределении вредоносных программ по терминологии Symantec. Она (терминология) и вправду ебанутенькая слегка.Очень много распределений по облачным и эвристическим детектам. На досуге напишу мануальчик по этому поводу.

Norton LiveUpdate спустя продолжительное время

Сегодня заметил странную вещь с обновлением баз в продуктах Norton. В общем надо было мне проверить кое-что на виртуальной машине с продуктом NIS 2012, нужна была актуальность баз и запустил я обновление. Последний раз базы обновлялись 15 ноября и следственно накопиться до большого размера у обновлений не было шанса. Запустил я обновление и охренел:

Откуда 135 метров? Это что ещё за вашу мать???
Теперь немного мыслей, почему так. Возможно, дело в том, что произошла пересборка баз (такое возможно, потому что в Symantec шлёпают сигнатуры хер знает как и обновы вырастают до большого размера время от времени). В принципе рядовым пользователям такое не грозит, потому что базы обновляются регулярно и постепенно. А вот  в ситуациях, когда обновление происходит очень редко, некоторым грозит жопа, особенно, у кого слабый инет. Ну, кроме как бесоёбией, я это явление назвать не могу.