Я и другие сотрудники ЛК часто присутствуем на семинарах для партнеров, в ходе которых с докладами и презентациями выступают также коллеги из компании Eset. Из их уст мы многократно слышали такие интересные аргументы в пользу антивируса NOD32:
1. Наш антивирус проактивно обнаруживает большинство вредоносных программ, поэтому нам совершенно необязательно часто обновлять базы сигнатур известных вирусов. Мы обновляем их только по мере необходимости при этом уровень безопасности пользователей не снижается, а зато существенно экономиться трафик.
2.Совершенно не важно чьего производства российского или зарубежного установлен у вас антивирус, зарубежные антивирусы так же хорошо ловят вирусы, распространенные в России, как и отечественные. Вирусы явление международное вне всяких границ и то, что вирлаб у Касперского и Доктора Веба находится в России ровным счетом ничего не значит.
Честно говоря, меня притомило все это слушать и я давно собирался привести примеры того, что эти заявления не более чем простой рекламный ход. Последние события подтолкнули меня к такому шагу окончательно. И так начнем.
Недавно весь Рунет был полон новостей, сообщающих о вирусных эпидемиях в социальных сетях Вконтакте и Одноклассники.
Вконтакте
В сети Вконтакте 16 мая 2007 года начал распространяться червь Win32.HLLW.AntiDurov (классификация Доктор Веб)/Rovud (классификация Лаборатория Касперского). Первый вариант червя был задетектирован рано утром 16 мая. Тело червя размещено на одном из сайтов (возможно, взломанном) под именем deti.jpg. Для первого варианта червя ссылка имела вид:
http://Roland.misecure.com/deti.jpg На самом деле, при клике на ссылку загружался не файл с изображением, а исполняемый файл. Будучи запущенным на компьютере, червь искал cookies пользователя ВКонтакте, после чего использовал их для соединения с сайтом и начинал рассылать вредоносную ссылку всем «контактам» зараженного пользователя.
Если кто-нибудь из получателей проследовал по ссылке, загрузил и запустил файл, цикл заражения повторялся, и теперь уже «контакты» новой жертвы также получали опасную ссылку.
Несмотря на то, что первый вариант червя достаточно быстро был обнаружен и Лабораторией Касперского и компанией Доктор Веб, а служба поддержки ВКонтакте была проинформирована об инциденте, остановить эпидемию за один день не удалось. Преступники изменили формат ссылки на зараженный сайт, которая посылается контактам жертвы, и таким образом смогли инициировать новую более массовую волну эпидемии новой версии червя (Rovud.c), бушевавшую всю первую половину 17го мая. Все это довольно подробно описано здесь: http://www.viruslist.com/ru/weblog?weblogid=207758696
http://info.drweb.com/show/3359/ru
Самое неприятное, что червь обладал деструктивной функцией. 25 числа он должен вывести на экран следующий текст:
Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!
Если обратитесь в милицию, то сильно пожалеете об этом!
После чего червь начнет удалять файлы на компьютере жертвы.
Ужас всей этой ситуации заключался в том, что по сообщению Вконтакте "Около 30 тысяч пользователей, несмотря на предупреждения Контакта, перешли по этой ссылке. Еще 70 тысяч получили подобную ссылку." А при этом ни 16го, ни 17го числа пользователи таких антивирусов как: NOD32, Symantec, McAfee и других не были защищены - эти антивирусы не детектировали червя ни проактивными, ни сигнатурными методами (смотри таблицы с мультисканера Virustotal ниже).
Так, например, в базы NOD32 сигнатуры различных версий Rovud были добавлены только 19-21 мая http://www.eset.com/support/updates.php?pageno=18, http://www.eset.com/support/updates.php?pageno=16. Это означает очень простую вещь: во время эпидемии 16-17 мая пользователи этого антивируса не были защищены и заразились. И если бы команда на удаление файлов в черве была прописана не на 25е мая, а например на 18е, то последствия могли бы быть еще хуже, чем мы можем наблюдать в комментариях здесь: http://vkontakte.ru/blog.php?act=s&nid=82 .
Скриншот с компьютера жертвы
Для примера динамика добавления в базы распространявшегося 17го мая Rovud.c (по Virustotal.com)
Одноклассники
Эхом 22 мая шарахнула новость о вредоносной рассылке в другой социальной сети Одноклассниках: http://info.drweb.com/show/3364/ru. Изначально "одноклассникам" рассылалось сообщение с предложением проголосовать за одну из участниц конкурса красоты «Мисс Рунет». При этом пользователь должен был перейти на подложный сайт конкурса по ссылке http://miss-***************/ (адрес изменен), где проголосовать за участницу.
При попытке просмотра видео участницы, размещенной на этом сайте пользователю предлагалось скачать видеокодек fire-codec5107.exe, которой на самом деле являлся троянской программой. Инфицирование компьютера производилось с целью использования его для последующих спам-рассылок от имени пользователя.
Что интересно злоумышленники постоянно подкладывали по ссылке нового троянца, так что зачастую даже ньюсмейкер (Доктор Веб) не поспевал за ними: http://www.virustotal.com/ru/analisis/c22d1fbdec04cc8abf6eb72fc81638cd
http://www.virustotal.com/ru/analisis/57a2b02811324e5e3bbcbda516a849de
В конце концов даже имя файла закачиваемого "кодека" было изменено на PrivateContent.exe.
http://www.virustotal.com/ru/analisis/e82d3db8861bd78b954596437fdf087e
Несмотря на это "неуспевание" надо отметить, что российские антивирусные компании довольно быстро добавляли новые неизвестные варианты троянцев в свои базы.
Так, например, обновления с сигнатурой одного из последних вариантов троянца (файл PrivateContent.exe - Trojan-Dropper.Win32.BHO.k по Касперскому и Trojan.MulDrop.16137 по Доктор Веб) стали доступны пользователям этих антивирусов около 14.00 23го мая, тогда как на результаты других антивирусов можно полюбоваться ниже:
Trojan-Dropper.Win32.BHO.k
Как мы видим некоторые антивирусы до сих пор не способны обнаруживать троянца.
Чтож, надеюсь после этих небольших примеров стало ясно, что и региональная направленность вирусов имеет место быть и оперативность и частота выхода обновлений баз имеют значение. А проактивная защита увы в ряде случаев оказывается бессильна.