Лидеры

Добрый вечер! Эта заметка посвящается всем тем пользователям, у которых не хватило денег на покупку лицензии для антивируса и они решили воспользоваться бесплатным антивирусным решением. Предыстория такова: больше недели тому назад один из попавшихся мне на глаза опасных по моему мнению скриптов (шифровальщик RAA) я дважды безуспешно отправил в Лабораторию Касперского на исследования через почту newvirus@kaspersky.com Оба раза пришёл стандартный ответ авторобота, о том, что файл будет передан на исследование в антивирусную лабораторию. Никакого эффекта это не дало, скрипт, несмотря на свои вредоносные действия, вообще никак не детектировался продуктами Лаборатории Касперского, это было проверено на KTS и на KES10. Естественно срабатывали правила контроля активности, скрипт помещался в слабые ограничения или недоверенные, соответственно никакого шифрования файлов не происходило. Не удовлетворившись результатом, я обратился на Фейсбуке к одному из сотрудников KL с просьбой проверить номера запросов — [KLAN-4733379059] и [KLAN-4726601605]. После этого свершилось чудо Через день скрипт стал детектироваться как троян дженерик в KTS и на KES он тоже стал удаляться каким-то из компонентов. В итоге я решил проверить — а как же реагирует на него бесплатная версия Kaspersky Free, а также решил попутно проверить нескольких его антивирусных аналогов, которые распространяются бесплатно. Итак тестовая среда: Win XP SP3 на VMware Workstation, все антивирусы скачивались, устанавливались и обновлялись, затем была перезагрузка системы, создание точки отката и после этого проверка на противодействие шифровальщику. 1) Kaspersky Free: никакого сопротивления не оказал, файлы оказались зашифрованы. 2) Аваст Free категорически отказался запускаться на виртуальной машине, видимо придётся проводить дополнительное тестирование в реальных условиях 3) Avira Free: никакой реакции на шифровальщика, все файлы зашифрованы. 4) Comodo Free: запускает скрипт в песочнице, никакого шифрования файлов не происходит (естественно у пользователя есть возможность не поверить антивирусу и в следующий раз запустить скрипт без песочницы, но это действие уже оставим на совести пользователя). Если мне не изменяет мой склероз, то Лаборатория Касперского 3—5 лет тому назад отказалась от технологии песочницы как от слишком затратной и ресурсоёмкой процедуры. Как видим у конкурентов всё работает, причём в бесплатных версиях продуктов. 5) 360 Total Security: скрипт не запустился и ничего не смог зашифровать. 6) NANO Антивирус : из всех испытуемых продуктов задетектировал этот скрипт базами, что не было для меня сюрпризом, так как неделю назад скрипт проверялся на Вирустотале, там у этого антивируса (одного из очень немногих) был отмечен детект скрипта. 7) Baidu Antivirus 2015: никакой реакции на шифровальщика, всё как у Авиры и Kaspersky Free. Решил добавить тест на этом антивирусе, хотя не особенно надеялся на какой-то успех — ничем выдающимся Байду не отличился, единственное, что достал всех русскоязычных пользователей своей версией на китайском языке, которая распространяется как при помощи операционной системы (например, если истекла лицензия на текущий антивирус, то Windows 7 первым предлагает загрузить именно Baidu), так и некими злоумышленниками через ссылки и письма. 8) Для полноты эксперимента проверил этот же скрипт на KAV 2017 (то есть платном антивирусе от Лаборатории Касперского), отмечается детектирование, поднимается алерт об опасности. Теперь меня мучает следующая мысль — насколько оправданно то, что функционал в Kaspersky Free зарезали настолько, что он стал намного хуже, чем его бесплатные конкуренты? Ведь многие пользователи доверяют бренду Kaspersky Lab, но на самом деле такая «защита» не защищает от самых современных угроз. Пока этот вопрос чисто риторический, я понимаю — программисты хотят есть и кормить свою семью, руководство стремится увеличить прибыли компании, но насколько всё это оправдывает выпуск беззубых антивирусных продуктов? Update: 31.07.2016 Провёл дополнительное тестирование вредоносного файла на устаревшем продукте для корпоративных пользователей — WKS 6 MP4 (версия 6.0.4.1611). Несмотря на какие-то попытки продукта отреагировать на заражение, все файлы в итоге зашифрованы. Update: 03.08.2016 Пришла рассылка от партнёра Лаборатории Касперского, как раз в тему: Ещё немаловажное уточнение — в вирлабе Лаборатории Касперского наконец-то провели работу над ошибками, теперь скрипт-шифровальщик на WKS MP4 сразу же блокируется при запуске с вердиктом Trojan-Ransom.JS.RaaCrypt.e. Kaspersky Free теперь тоже не даёт запустить этот скрипт, вердикт правда не успел рассмотреть при запуске, поэтому пришлось потом лезть искать в отчётах данное событие.

В ближайшее время собираюсь съездить по маршруту Москва - Орел - Брянск - Москва. Основная цель посетить юбилей города Орла, и посмотреть местные достопримечательности. В Москве скорей всего буду проездом между вокзалами, но возможно задержусь на этап DTM. По возвращению постараюсь сделать не большой фото отчет и рассказ самых интересных моментов путешествия. P.S По карте не нашел, но если есть фанклубовцы проживающие в данных городах, и желающие встретиться - я только за! От экскурсии тоже не откажусь) P.P.S Публично обещаюсь по возвращению закончить с описанием всех сувениров магазина клуба, процентов 90 уже готово и останется только перенести все на форум, а так же дописать оставшиеся.

Не, ну они не совсем игнорят, просто на проверку уходит какое то время, кстати обычно когда я им посылал на проверку файлы, они мне отвечали достаточно быстро(в течении суток) и что самое смешное, часто от ДрВеб и Касперский приходили противоположные версии, Др отвечал что это точно зловред, а Каспер что файл чистый и честно говоря Касперу в этом плане я верю больше, потому что посланные файлы чаще всего были ложными срабатываниями, из за этого я и посылал, что бы убрали детект, но у многих вендоров заиметь ложный детект легко, а вот снять тяжело, они не любят признавать свои ошибки) Хотя вот например если написать о ложном срабатывании в Malwarebytes Anti-Malware они стабильно снимают детект за 3-4 часа, другое дело у меня закрадываются сомнения, они реально провели обследование присланного файла или просто поверили мне на слово)

Перепроверил, по просьбам трудящихся )) https://www.virustotal.com/ru/file/97bdf9115e30457d48bdfaa8d55f1377d60df594bbf2c0df6264bf7778c33f3f/analysis/1469954827/ Вчера я отправил скрипт в DrWeb, результат не замедлил себя ждать, добавили детектирование оперативно.

меня больше смущает что КИС детектит шифровальщик как трояна такие вещи нужно рубить на корню ты настоящий тестер, проделал огромную работу, от меня респект и уважуха!

Сдвиги есть, но не совсем могу определится в какой форме все это будет, обещаю новую запись в течение недели

Максим, Спасибо за компанию! Было реально приятно встретиться после Армении :)

Спасибо за магнитик! Уже весит во всю на холодильнике

Вот такая приключилась история — коллега принесла сломанный ноутбук HP Pavilion G6. И казалось бы ничего не предвещало каких-то особых усилий и знаний для ремонта этого ноутбука, ноутбук ужасно греется, зависает и выключается автоматикой от перегрева, казалось бы всего-то что нужно — это почистить от пыли систему охлаждения, то есть выдуть пыль из турбинки. Но не тут то было! Итак про всё подробно и по-порядку. Этап первый: разбираю ноутбук, никаких особых трудностей процесс не доставляет, и тут первый сюрприз — у ноутбука сломано крепление экрана к корпусу. Слева ещё немного держится, но наметились трещины, справа всё вывернуто с корнем, выломаны места креплений бронзовых втулок, вплавленных в корпус. О великий и могучий Ютуб! Что же мне делать? Молвит зеркальце в ответ... Склейка сломанного крепления экрана ноутбука цианокрилатным клеем: Посмотрел ролик, сходил купил два тюбика цианокрилатного клея, пачку пищевой соды, за два с небольшим часа удалось практически полностью восстановить выломанное крепление крышки. Сразу же отмечу, что нашёл ещё один ролик, в котором склейка проводится при помощи поксипола (это двухкомпонентный эпоксидный клей с быстрым временем схватывания), но так как в нашей местности этот чудо клей не очень доступен, то испробовать такой метод пока не удалось. Склейка деталей ноутбука при помощи поксипола: Выдуваю и вычищаю пыль из турбинки, очень довольный полученным результатом собираю ноутбук. Увы! При работе турбинка издаёт дикие подвывания, слушать работу такого устройства невыносимо тоскливо. Ничего не остаётся делать, как снова разбирать этот ноутбук, теперь уже для того, чтобы смазать турбинку. Разобрал ноутбук, о ужас — на том месте, где как мне казалось, должна быть резиновая заглушка, под которую нужно налить масла, установлена (или вплавлена?) глухая металлическая втулка. Масло вливать некуда Полез снова на Ютуб смотреть ролики О сколько нам открытий чудных, Готовит этот чудо-Ютуб! В первом попавшемся ролике некий мастер предлагал просверлить отверстие и залить в него масло.... Сверлим отверстие, заливаем масло, ничего сложного )): Так как разбирал я ноутбук на работе, под рукой не оказалось сверла необходимого диаметра, то решил с этой идеей повременить, снова включил поиск на Ютубе. Следующий найденный способ оказался намного радикальнее предыдущего — автор метода предложил кусачками выкусить неисправный вентилятор, а на его место впаять исправный от другого ноутбука. Каков размах мысли! С интересом посмотрел этот ролик: Особенно порадовали кусачки «мастера», это незабываемо: Так как кулеров от ноутбуков у нас тут тоже поблизости нигде не продают, этот метод для меня оказался неприемлемым, то снова продолжил поиски, и очень скоро наткнулся на ещё один ролик: А ларчик то просто открывался!: Всего то и нужно было — это потянуть крыльчатку вверх, а потом залить масло (ну масла тоже не оказалось, поэтому капнул туда силиконовой смазки СИ-350). Мораль этой истории такова — не спешите воплощать в жизнь первый же попавшийся совет с Ютуба, не факт что этот совет окажется правильным и безальтернативным. Собранный ноутбук теперь стартует и работает как только что из магазина. И мне даже страшно подумать, что у меня вполне под рукой могло оказаться сверло нужного диаметра или кулер от другого ноутбука Updates 05.08.2016 Неожиданно пришлось вернуться к тому, с чего начинался ремонт этого ноутбука: Все проведённые процедуры с очисткой и смазкой ноутбука не дали желаемого результата — при старте ноутбук начинал (почти мгновенно) увеличивать обороты турбинки, которые переходили в звук взлетающего самолёта) При этом загрузка процессора (i3, не такой уж и слабый процессор! ) всегда держалась на уровне 50% или более. Первым делом удалил антивирус Eset Nod, была установлена версия от 2008 года Никакого эффекта, ноутбук продолжал напрягаться какими-то процессами, которые не были видны в диспетчере задач. Скачал и запустил на проверку MBAM (Malwarebytes Anti-Malware) и с помощью этой программы выяснилось, что пользователь установил (или подцепил) себе на ноутбук майнер биткоинов (RiskWare.BitCoinMiner) После удаления всех вредоносных и рекламных модулей наконец-то ноутбук стал работать как надо.