16 July 2010

Вирус для «блондинок» Trojan.Click1.25237

Antivirus protection
Как показал опрос, проведённый среди пользователей Хабрахабра, только половина процента (!) (0,52%) опрошенных пользователей борются с новыми вирусами, отправляя их в техподдержку. Примерно треть лечит «фирменным антивирусом» и почти столько же — бесплатным или пытаются удалить самостоятельно.
Далее рассказ, как боролись с вирусом для «блондинок».

image
(p.s. Осталось 15 голосов за топик, чтобы получить инвайт на Хабр для хорошего человека. Или 65 голосов в карму, но это менее вероятно)

А началось всё с того, что знакомая пожаловалась: «У меня на флешке какая-то блондиночка с бабочкой!». Оказалось — на флешке autorun.inf, intrsrv.exe (оба скрытые) и файлик «Блондиночка.swf.exe». У всех трёх иконки были в виде розовой бабочки. Ну как блондинке пользователю не нажать, а? Но, странно, ничего не запускается… «Ой, может, на другом компьютере попробовать, да?»

Вот вам и вся «социальная инженерия».

Обычно, Windows отображает только первую часть такого «двойного» расширения, поэтому пользователь думает, что это очередной весёлый видеоролик с участием пышногрудой девицы блондинки. Пол пользователя, как оказалось, значения не имеет.

Под видом «Блондиночки», естественно, скрывался троян. Включённый бесплатный Avast! со свежими базами спокойно дал ему запуститься. Онлайновая проверка «Антивирусом Касперского», «Доктором Вебом» и McAfee уверяла, что всё в порядке. (upd. ESET NOD32 — отдельный привет)

Только Comodo Firewall в режима усиленного анализа заподозрил неладное и предположил, что на флешке может быть вредоносный код. После блокировки «зверя» оказалось, что доступ в локальную сеть теперь закрыт наглухо, остался только Интернет. И на том спасибо.
Отправил письма в техподдержку вышеназванным антивирусописателям. Поначалу обе компании промолчали. На следующий день отправил повторно «Доктору Вебу». Буквально сразу пришло письмо, что запрос поставлен в обработку. Затем пришло ещё 25(!) писем, подтверждающих, что запрос обрабатывается — и каждый раз запросу присваивался новый номер.

Уже вечером троян получил собственное имя Trojan.Click1.25237 и был добавлен в свежее обновление.

image

Мораль.
1. Бесплатный антивирус без файрволла — бесполезная игрушка.
2. Пользователь, не знающий как себя вести с «блондиночками» — опаснее вируса.
3. Не занимайтесь самолечением (но если Ваш уровень знаний позволяет — на здоровье).
4. Если антивирус не видит вируса — то это не значит, что компьютер «девственно чист».
5. Нашли новый «вирус» — отправьте в базу.

Вот список, куда можно (и нужно!) слать вирус или троян, выловленный в «дикой природе»
(только запакуйте его в архив с паролем «virus»):

1. Доктор Веб https://vms.drweb.com/sendvirus/
2. Касперский http://support.kaspersky.ru/virlab/helpdesk.html
3. ClamAV http://www.clamav.net/lang/en/sendvirus/
4. Comodo antivirus@comodo.com malwaresubmit@avlab.comodo.com
5. Avast! virus@avast.com
6.…
7.…

Утилиты и анализаторы:
1. AVZ http://www.z-oleg.com/secur/avz/download.php
2. Anubis http://anubis.iseclab.org/

p.s. Фото экрана компьютера из Общества слепых, который был заблокирован очередным Winlocker.SMS выложу позднее.

upd. Скормил «зверя» VirusTotal, таки он очень свежий www.virustotal.com/analisis/04e233d396e65f8e853a166ce6fc1d16283f22416a3745068e5caa2e703893d2-1279272442

upd 2. Добавил в наш список ClamAV, Comodo (e-mail)
upd 3. Добавил Avast!
Tags:вирусыблондинкисоциальная инженерияdrwebkasperskymcafeenod32esetavastcomodoтроянvirustotal
Hubs: Antivirus protection
+35
2k 23
Comments 107
Top of the last 24 hours