Троян, распространяющийся через Mail.Ru Агент и реакция антивирусов - блог №119105

Вам пришло необычное интригующее сообщение от знакомого со ссылкой или вложенным файлом по электронной почте, ICQ или другим электронным способом? Не спешите доверчиво следовать такому предложению! Иногда стоит убедиться, не является ли реальным отправителем этого сообщения злоумышленник. Например, можно уточнить у вашего знакомого по другому каналу связи, его ли это послание. Вот недавняя история на эту тему.

На этой неделе увиделсообщение родственницы в Моем мире (соцсеть Mail.Ru), написанное с ее запасной учетной записи, о том, что она опять подверглась взлому. Немного погодя, в мой Mail.Ru Агент от ее основной учетки свалилась пара подозрительных фраз:

тут???
narod.ru/disk/25786305001/DSC00280.exe твоё фото? 

Ну, думаю, похоже, с украденного аккаунта уже какая-то зараза распространяется! Очевидно, таким образом жулики рассчитывают привлечь внимание доверчивых знакомых из контактов владельца взломанного ящика, чтобы пополнить ряды своих жертв.

Что ж, посмотрим… Включаю на всякий случай установленный на моем ПК антивирус Avast Free и иду по ссылке. Попадаю, конечно же, на страницу закачки народного файлообменника Яндекса с надписью «Файл проверен Dr.Web: Вирусов нет». Но стоит ли доверять анализу Доктора в данном случае? Вопрос… При этом мне известно, что ПК родственницы как-раз защищен продуктом Dr.Web — сам устанавливал его этим летом. Качаю предложенный «сюрприз». Avast проявляет себя молодчинкой — реагирует сообщением о трояне и блокирует закачку. Отключаю Avast и повторяю скачивание, поскольку запускать «сюрприз» все-равно не собираюсь, ведь мне его надо лишь получить и отправить на анализ. Слитое «добро» оказывается на моем жестком диске в виде неприлично жирноватого для вирусных творений файла "DSC00280.exe" размером с пол-мегабайта.

Отправляю exe-шник для анализа на веб-сервис www.virustotal.com, который позволяет проверить файл на наличие вирусов сразу несколькими антивирусными сканерами — вот результат. Как видим, из 44 антивирусов только 10 разглядели опасность. Среди разглядевших, естественно, есть и чешский Avast. А вот продукты Dr.Web и Касперского, которые я обычно рекомендую пользователям в качестве надежной платной защиты, в эту десятку, увы, не вошли.

Конечно же, надо помочь отечественным антивирусникам давить заразу! А заодно и родственникам ;-) Поэтому отправляю полученный образец в лаборатории Доктора и Касперского через специальные формы на их сайтах. Родственникам пишу письмо, дескать, так и так, комп ваш скорей всего заражен, Dr.Web пока «не в курсах» о свежем трояне, предупреждайте  знакомых, чтобы не велись на ссылку, лечиться возможно придется Авастом, если Доктор вскоре не одумается. Ждемс.

 На следующий день ответа от наших антивирусников на мой e-mail не поступило, но тем не менее, анализ на  www.virustotal.com выдал несколько другой результат. То есть, уже 12 антивирусов стали знакомы с анализируемым зловредом, за счет обучившихся Dr.Web и Касперского. Может с моей подачи, а может и нет, но обе российские лаборатории  отреагировали, и молодцы!

Родственники по моей рекомендации просканировали свой компьютер, который, как выяснилось, недавно начал еще и тормозить с глюками, что не удивительно при наличии паразитов. В результате, сканер Dr.Web нашел и устранил пару вирусов. Аккаунт на Mail.Ru они тоже успешно восстановили через форму запроса в техподдержку почтового сервиса.

К сожалению, всех подробностей я не знаю, т.к. за инфицированным компом далеко живущих родственников не сидел. Как подхватили заразу? Сам ли зараженный ПК рассылал сообщения по контактам  Mail.Ru Агент, или это делалось с помощью украденного пароля с другого компьютера? Нашел ли Dr.Web на ПК родственников троян с именем «Trojan.Qhost.3809», как и соответствующий сканер на  www.virustotal.com? Для меня это все осталось не известным. Но главное, от заразы успешно избавились и доступ к почтовому ящику восстановили :-)

Этот случай ни в коей мере не умаляет достоинств продуктов Dr.Web и  Касперского, и не превозносит Avast. Я сталкивался с ситуациями, когда все было в точности до наоборот — то, что пропускал Avast исправно ловил Доктор или Касперский и т.п. Тем более, вполне возможно, что в каких-то случаях против неизвестного вируса могла среагировать проактивная защита  российских продуктов. Многое зависит от настроек и версии антивируса, от поведения пользователя. Кстати, на ПК родственников установлена не последняя 6-я версия Dr.Web, а предыдущая 5-я — та, которую бесплатно предоставляет им провайдер. Ну и вылечил компьютер в итоге все тот же Доктор с обновленными базами. А из моего опыта и по многим отзывам в инете в лечении Доктор действительно крут, причем давно и прочно.

 Зато подтверждается вывод, что идеального антивируса нет, и пропустить заразу может любой из них. А значит, осторожность и аккуратность пользователю никогда не помешает. Не стоит бездумно качать и запускать файлы, даже если они присланы от имени знакомых людей. Ведь владельцы инфицированных компьютеров и взломанных аккаунтов могут даже и не ведать о таких «собственных» рассылках.

Ну и еще, если вы вдруг напоролись на вирус, не известный вашему антивирусу, отнеситесь к этому с пониманием (не так уж и часто это происходит с добротными продуктами) и постарайтесь по возможности послать его в лабораторию разработчикам. Тем самым вы посодействуете общему делу в борьбе с интернет-жуликами, поможете антивирусам и их пользователям. Надеюсь, и моя заметка кому-то станет подсказкой в этом деле.

Сегодня по ссылке  narod.ru/disk/25786305001/DSC00280.exe файл уже совершенно справедливо заблокирован — можете смело зайти и проверить :-) Вот только оставшаяся почему-то надпись "Файл проверен Dr.Web: Вирусов нет" не соответствует действительности.

У некоторых других антивирусов, судя по сегодняшнему анализу на www.virustotal.com, дела с распознаванием нашего зверя тоже улучшились — вот  результат. Уже 28 из 44 сканеров «чуют» неладное :-)

Удачи вам и безвирусной работы! 

Опубликовать в социальных сетях

Посмотреть всех экспертов из раздела Технологии > Компьют. безопасность


Комментарии

мелочь а приятно, то что microsoft которого я рекомендую, не облажался — вошел в 10 бдительных на момент твоего первого запроса к virustotal ;)))

вот дополнение, интересная статья о современном состоянии вирусной и антивирусной индустрий http://habrahabr.ru/blogs/infosecurity/129024/ 

и небольшая цитата из нее:

… Лучший антивирус из представленных на момент написания статьи (июнь 2011) имеет рейтинг защиты 99,3%. Простому обывателю может показаться, что это хороший результат. А вот любому специалисту в области антивирусной безопасности очевидно, что это полное фиаско. Почему?

Давайте займёмся несложными подсчётами. Каждый день в мире производится, по разным оценкам, примерно от 30 до 70 тысяч уникальных зловредным модулей в сутки. Да, это так, согласно недавней информации центра безопасности компании Microsoft, время жизни зловредного модуля находится примерно в районе 4 часов, далее срабатывают облачные компоненты антивирусных решений и данный образец, с точки зрения теневого бизнеса, теряет всяческое значение. Считаем по минимальным оценкам: 30'000 * 0,7% = 210 вирусов, которые проникают сквозь защитные барьеры антивирусов и наносят ущерб пользователям персональных компьютеров, в день...

 

25.09.11
Пользуйтесь нашим приложением Доступно на Google Play Загрузите в App Store