ДрВебовско-изыскательное
Вот так у нас сегодня встретила половина конторы новый рабочий день. Причиной послужила ошибка в ежедневном обновлении drwtoday.vdb.


А еще у меня закончилась!(?) дурацкая неделя в формате работа/на выезде/сон дома. Все началось с того, что у клиентов "на спайдере загорелся красный крестик". Я, прихватив свежесостряпаный диск DrWeb LiveCD, планировал затратить на все не более часа, ога.

По прибытию оказалось, что сервис спайдера не желает стартовать ни при каких условиях. Последовательность spidernt.exe /remove и spidernt.exe /install:auto не помогал. Оффлайновая проверка диска показала наличие заражения: Win32.HLLW.Autoruner.7153, BackDoor.Tdss.470, BackDoor.Tdss.465. Как попал руткит на машину не понятно. Может через скрипт зараженного сайта, может через почтовое вложение. Он умудрился отключить виндовый файрвол, создать на всякий случай правила исключения к популярным программам, чтобы цепляться к ним через svhost и заблокировал сервис спайдера. Также препятствовал установке пятого доктора веба.
И все равно после проверки сканером, при подключении флешки, на нем предательски появлялся autorun.inf с экзешниками. Создал запрос на support.drweb.com, отослал файлы. Внесли новичка в базы как Win32.HLLW.Lime.18(40). Но спайдер так и не ставился, то есть зараза где-то жила. На следующий день комп через невыявленный руткит подхватил разновидность Trojan.Winlock, ответ для разблокировки которого сайт веба не давал. Компьютер загружался в десктоп и сразу блокировался. Загрузочные диски со свежим ДрВебом, Касперским, nod32 говорили, что система стерильна.
Поддержка запросила создать логи с помощью Rootkit Unhooker, GMER, Autoruns, HijackThis. В безопасном режиме система не блокировалась, но руткитовые утилиты отказывались запускаться. Что делать? Выход был найден как всегда через задний проход. При нормальном старте, перед блокировкой успевал запуститься download master с плавающим окошком со свойством "поверх всех окон". Через него открывалось основное окно программы, а уже из нее через диалог открытия все необходимые программы. Логи сделал, выслал, затребовали файлы с заразой. И все бы ничего, если бы все перечисленные к отправке файлы не попали под раздачу в самом начале, даже еще до проверки антивирусом, реестр так же был вычищен.
Фактически имелась зараженная система, которая была заблокирована и периодически подсасывала из инета новую заразу. Я же вооружившись здравым смыслом, нездоровой подозрительностью, сайтом Virustotal.com (на нем можно проверить подозрительный файл в онлайне сорок одним антивирусом) продолжал копаться в реестре и системных каталогах, периодически проверяя систему в оффлайне и отсылая в поддержку веба заразу, найденную каспером. Процесс напоминал ловлю рыбы голыми руками в мутной воде. В конечном итоге эта сволочь была найдена. Она запускалась как процесс ctfmon.exe из %systemroot%, в то время как истинный должен был стартовать из %systemroot%\system32. Отослал файл на virustotal, из 41 антивируса обнаружили заражение только 11. Ни один из популярных "домашних" антивирусов в этом списке не значился. Внесен в базу под именем Trojan.Winlock.274.
В итоге за все время "операции-кооперации" в службу поддержки ДрВеба было отправлено три вируса не определяемых их продуктом, но найденных антивирусами конкурентов. И один практически эксклюзивный. Вопрос: чья это работа - ловить вирусы и за что деньги плачены? Практически в таком виде я его и задал.


Q: Если на машине работают не особо мнительные и квалифицированные пользователи, использующие браузер и открывающие подряд вложения в почтовом клиенте. Как при включенных SpiderGuard и SpiderMail вирусы обходят защиту?

A:Здравствуйте.

К сожалению, между началом распространения новой вредоносной программы и её попаданием в вирусные базы антивирусов всегда есть какой-то ненулевой интервал времени, когда вредоносный код уже активно распространяется, а антивирусы его ещё не знают, так что обеспечить надёжную защиту компьютера от заражения, используя только антивирусную программу, невозможно. Поэтому для снижения риска заражения рекомендуем выполнять следующие правила:

1. Нужно своевременно исправлять ошибки в Windows, Internet Explorer, Outlook Express, Microsoft Office выпускаемыми исправлениями: http://windowsupdate.microsoft.com, http://officeupdate.microsoft.com
Без установки исправлений другие элементы защиты часто просто теряют эффективность.

2. При работе в сети очень желательно использовать межсетевой экран (он же firewall или брандмауэр): Zonealarm, Agnitum Outpost или аналогичные. В крайнем случае, нужно хотя бы активировать встроенный в Windows XP брандмауэр. Логика правил - закрыть все, разрешать только необходимое. Можете использовать бесплатный Comodo.

3. Вместо Internet Explorer желательно использовать браузер Opera либо Mozilla Firefox, а вместо Outlook Express - почтовый клиент из поставки Opera, либо Mozilla Thunderbird или The Bat. В крайнем случае нужно предельно ужесточить настройки безопасности в Internet Explorer и Outlook Express, но это, к сожалению, не всегда помогает, особенно если не ставить исправления. Очень многие современные троянские программы (по моему личному опыту - абсолютное их большинство) вбрасываются в систему именно через уязвимости Internet Explorer при посещении заражённых сайтов, причём заражён может быть практически любой сайт, а хозяева сайта могут даже не знать, что с их сайта распространяется инфекция.

В силу роста популярности альтернативных браузеров их уязвимости тоже стали чаще атаковать, поэтому не забывайте обновлять эти браузеры, когда выходят их новые версии, а для Mozilla Firefox рекомендуется установить плагин NoScript (https://addons.mozilla.org/ru/firefox/addon/722), позволяющий выборочно разрешать выполнение скриптов только на тех серверах, которым Вы доверяете, а всё остальное блокировать (попутно этот плагин позволяет заблокировать многие виды рекламы).

4. При работе в сети не отключайте антивирусный монитор.

5. Избегайте нелицензионного программного обеспечения. В настоящее время очень многие генераторы ключей и программы взлома защиты от копирования - они же кейгены и кряки (крэки) - помимо своей основной функции часто пытаются внедрить в систему какой-либо троянский модуль, и, к сожалению, далеко не всегда такие модули определяются антивирусами.

6. Все новые диски, дискеты, скачанные файлы предварительно проверяйте сканером антивируса. Базы антивируса желательно обновлять при каждом соединении с интернетом и далее ежечасно.

Кроме этого, при использовании Windows XP Professional или Windows 2000, установленной на диске с файловой системой NTFS, дополнительно повышается уровень защиты, если работать в системе не с правами администратора, а с правами пользователя, а администратором входить только в случае необходимости (например, для установки программного обеспечения или изменения настроек системы). Многие вредоносные программы не могут заразить систему, если запущены без прав администратора. Это ограничение эффективно только при условии установки всех критических обновлений, так как среди закрываемых этими обновлениями уязвимостей имеются и такие, которые позволяют пользователю с ограниченными правами повысить свои привилегии до уровня администратора или системы.

С уважением, Андрей Лисковский,
служба технической поддержки компании "Доктор Веб".

Вобщем "мойте руки перед и зад". Но даже если Вы все равно будете соблюдать все правила гигиены, нет гарантии, что не посетите фаянсового друга. И продолжительность общения может от Вас совершенно не зависеть.
Будте здоровы и не болейте.

Сайт с ссылками на антивирусы, livecd и прочие утилиты: www.comss.ru