Історія одного вірусу. Сорок антивірусів визнали його нешкідливим :: Журнал СА 7-8.2010

Наша взаимовыгодная связь https://banwar.org/

СТАНІСЛАВ ШПАК, більше п'яти років займається супроводом Active Directory і Windows-серверів. Має сертифікати MCSE по Windows Server 2000/2003

Історія одного вірусу
Сорок антивірусів визнали його нешкідливим

На прикладі зараженого файлу хочу показати, як реагують антивірусні компанії на появу нових загроз

Будь-якому системному адміністратору іноді доводиться чистити комп'ютери від шкідливих програм - будь то робочі станції співробітників або ноутбуки знайомих. Кожен з нас має свої переваги в плані використання антивірусних засобів. І не секрет, що жоден антивірус не дає стовідсоткового захисту комп'ютера. Але на порядком набридли запитання користувачів порадити кращий антивірус ми завжди щось однозначно радимо і навіть деколи з жаром готові відстоювати улюблений антивірус так, ніби самі його писали.

Проте в гонитві за значними цифрами відомих антивірусу шкідливих програм іноді забувається один важливий, на мій погляд, чинник - здатність розробника антивірусу оперативно реагувати на появу нових загроз. Модифікації різних типів вірусів, в тому числі збирачів паролів і смс-здирників, плодяться як гриби після дощу на благодатній вітчизняної правовому ґрунті повної безкарності.

Коли в черговий раз я вручну вичистив з комп'ютера порно-блокер, то вирішив провести невелике дослідження, яке і опишу в цій статті.

Отже, в мої руки попався вірус, який виводив на екран порно-банер з вимогою відправити смс на короткий номер, щоб розблокувати комп'ютер. Вірус блокував запуск диспетчера завдань, натискання кнопки «Пуск» і звертав вікно Process Explorer. Підключившись до зараженого комп'ютера через локальну мережу, я без праці виявив «зайвий» процес і зняв його.

Щоб з'ясувати, наскільки виявлений порно-банер відомий антивірусів, я скористався сервісом Virustotal [1].

Результати аналізу виявилися наступними:

File name: virus.rar
Submission date: 2010-06-16 14:03:21 (UTC) Result: 3/42 (7.1%)
Panda 10.0.2.7 2010.06.16 Suspicious file
Sunbelt 6454 2010.06.16 Trojan.Win32.Generic.pak! Cobra
TrendMicro 9.120.0.1004 2010.06.16 PAK_Generic.012

Таким чином, три з 43 антивірусів впізнали файл як вірус, інші ж вважали його нешкідливим.

Наступним моїм кроком була відправка файлу для аналізу в різні антивірусні лабораторії. Звичайно, я не збирався це робити для всіх, хто лишився 39 антивірусів, тому вирішив зупинитися на найбільш популярних в Росії розробників:

• «Лабораторія Касперського» - випускає однойменний антивірус;
• «Доктор Веб» - антивірус DrWeb;
• Microsoft - антивірус Microsoft Security Essential і Forefront Security;
• Eset - антивірус Nod32;
• Symantec - антивірус Symantec Endpoint Protection і інші продукти.

Хотів було сюди додати ще антивірус AVAST, але на сайті розробника немає не тільки онлайн-сканера для перевірки файлів, але навіть можливості відправити для аналізу підозрілий файл (принаймні я не знайшов такої можливості ні в російській секції, ні в англійській, ні через пошук).

Там, де було можливо, перед відправкою файл був перевірений онлайн-сканером на сайті розробника, щоб переконатися, що вірус дійсно ще не визначається цим антивірусом. Не всі з перерахованих вище розробників антивірусів пропонують на своєму сайті сервіс онлайн-сканування. До таких належать тільки «Антивірус Касперського», DrWeb і Nod32.

Файл на перевірку був відправлений 16 червня 2010 року в проміжку між 18.00 і 19.00 за московським часом (UTC + 4) послідовно в наступні антивірусні компанії.

«Лабораторія Касперського»

Форма для повідомлення про новий вірус - http://support.kaspersky.ru/virlab/helpdesk.html або [email protected] . Колись форма для онлайн-сканування [2] розташовувалася на головній сторінці сайту, але ті часи давно пройшли. Тепер дістатися до неї з головної сторінки можна так: «Сервіс -> Сайт технічної підтримки -> Для дому» зліва розділ «Боротьба з шкідливими програмами». За ті кілька днів, поки писалася ця стаття, на сайті відбулися деякі зміни, тепер дістатися до форми онлайн-сканування можна простіше - про це нижче.

Онлайн-сканер «Лабораторії Касперського» підтвердив, що вірусів у файлі немає, і я зміг сміливо відправити файл на аналіз. Поки що це робиться з головної сторінки - в правому нижньому кутку посилання «Надіслати вірус». Тип посилання періодично змінюється з http: // на mailto: // - я кілька разів натрапляв то на одну, то на іншу версії. У першому випадку посилання веде до відкриття веб-форми (див. Рис. 1), з якої також можна перейти до онлайн-скануванню; у другому випадку можна просто написати лист на адресу [email protected] , Приклавши до листа досліджуваний файл і супровідний текст. Останнє - не обов'язково, але я завжди намагаюся так робити, щиро вірячи, що десь там, «з іншого боку Інтернету», це допоможе людям розібратися з файлом. Через 5-10 хвилин на e-mail було надіслано повідомлення про те, що файл прийнятий до обробки і «буде переданий вірусного аналітику».

Малюнок 1. Форма для повідомлення про новий вірус на сайті «Лабораторія Касперського»

«Доктор Веб»

Форма для повідомлення про новий вірус - https://vms.drweb.com/sendvirus .

Онлайн-сканер DrWeb'а [3], доступний через нижнє меню на головній сторінці сайту, також не виявив у файлі нічого підозрілого. Велика зелена кнопка «відправити файл на аналіз» дуже до місця розташовується прямо на сторінці онлайн-сканера. Для відправки потрібно заповнити невелику форму (див. Рис. 2), в якій треба вибрати відсилається файл, вказати категорію запиту, залишити адресу електронної пошти для зв'язку і коментар до відсилає файлу. Після успішного відправлення на поштову скриньку приходить повідомлення про прийняття файлу.

Малюнок 2. Форма для повідомлення про новий вірус на сайті «Доктор Веб»

Microsoft

Форма для повідомлення про новий вірус - https://www.microsoft.com/security/portal/Submission/Submit.aspx .

Чомусь багато системних адміністраторів не ставляться серйозно до антивірусу софтверного гіганта, який, на мій погляд, досить непогано себе показує. Знаючи особливості сайту Microsoft, я не наважився шукати форму відправки підозрілого файлу на сайті, а скористався посиланням з вбудованою довідки антивіруса. Вона привела мене в розділ Malware Protection Center, звідки вже нескладно було знайти в верхньому меню посилання Submit a sample. За посиланням доступна простенька форма (див. Рис. 3), в якій потрібно обов'язково вказати своє ім'я та відсилається файл, а також опціонально заповнити поля адреси електронної пошти, що використовується продукту і коментарі.

Малюнок 3. Форма для повідомлення про новий вірус на сайті Microsoft

Після відправки можна не закривати сторінку - вона буде підлягати періодичному оновленню і містити поточну інформацію про хід дослідження файлу, яка також буде дублюватися і на e-mail, якщо його вказали при відправці файлу. Перше повідомлення про прийняття файлу для аналізу приходить майже відразу ж після відправки.

Eset

Форма для повідомлення про новий вірус - [email protected] .

Онлайн-сканер [4] цього популярного антивіруса також повідомив про те, що в перевіряється файлі вірусів не виявлено. Безрезультатно пошукавши на сайті посилання для відправки файлів на аналіз, я вирішив не боротися з інтерфейсом і скористатися пошуком. За запитом Submit a virus перша ж посилання виявилося тим, що потрібно, а саме - інструкцією по відправці. З неї випливало, що підозрілий файл потрібно упакувати в RAR або ZIP-архів, закрити його паролем infected, після чого вкласти в лист з темою suspected infection, вказати в тілі листа пароль від архіву, опціонально додати опис і коментарі і відправити на адресу [email protected] . Що я і зробив.

Symantec

Форма для відправки вірусів - http://www.symantec.com/business/security_response/submitsamples.jsp .

Надіслати файл на аналіз в Symantec можна, помістивши підозрілий файл вручну в карантин (зрозуміло, з використанням якого-небудь з продуктів Symantec), а потім з карантину здійснивши відправку. Інший варіант - скористатися сайтом Symantec. І хоча онлайн-сканера там я не виявив, зате через пошук знайшов форму для відправки підозрілих файлів (див. Рис. 4). У формі обов'язково потрібно вказати не тільки файл для аналізу, але і прізвище / ім'я і двічі адресу електронної пошти. Коментар опціональний. Форма захищена CAPTCHA.

Малюнок 4. Форма для повідомлення про новий вірус на сайті Symantec

Схоже, файл спочатку автоматично перевіряється в Symantec по поточній базі, так як через 15-20 хвилин мені прийшло повідомлення про те, що в результаті автоматичного сканування в надісланому файлі вірусів не виявлено, і він буде збережений для подальшого аналізу. Ще через 20 хвилин прийшов лист, в якому говорилося, що файл прийнятий до обробки.

результати перевірки

Тепер, коли я зробив все від мене залежне для протидії впійманого порно-Блокер, мені залишалося тільки чекати плодів своїх зусиль.

Через годину після відправки прийшов лист з Microsoft. Щодо досліджуваного файлу повідомлялося наступне: Changes to detection currently undergoing testing. Я інтерпретував це як те, що це модифікація відомого вірусу, і буде проводитися його подальша перевірка.

Однак не буду наполягати на тому, що я зрозумів фразу правильно, важливо тут те, що вердикт Microsoft ще не остаточний, і треба чекати далі.

Наступне лист прийшов від «Доктор Веб», де повідомлялося, що в результаті автоматичного (!) Аналізу в надісланому файлі виявлений вірус Trojan.Winlock.1897, який буде додано в антивірусну базу. Отже, перший антивірус впорався із завданням трохи більше, ніж за годину. Я не знаю принципів роботи і налаштувань DrWeb, але наявність слова «автоматичний» у відповіді наводить на думку, що в реальних умовах (а не по сервісу Virustotal) даний вірус міг бути виявлений цим антивірусом при включеному режимі евристики.

Eset зберігав даний самурайський мовчання, навіть не вважаючи за потрібне повідомити про прийняття файлу для аналізу. Однак через чотири з гаком години після відправлення повідомив, що в надісланому файлі знайдений вірус Win32 / LockScreen.UE trojan.

Через вісім годин після відправки файлу в пошті знову відзначився Microsoft, написавши, що виявлена ​​модифікація вірусу Trojan: Win32 / Calelk.C буде додана в антивірусну базу.

Решта двоє випробовуваних - «Лабораторія Касперського» і Symantec - не захотіли більше повідомляти про себе. Це було очікувано від Symantec (так як був подібний сумний досвід раніше) і дещо несподівано для «Лабораторії Касперського». Справа в тому, що я періодично відправляв файли для дослідження в «Лабораторію Касперського» і в більшості випадків отримував відповідь. Іноді відповіді не було, але вірусна сигнатура з'являлася в базах. Зважаючи на відсутність відповіді довелося перевіряти виявленню вірусу по Virustotal. Ось як розвивалися події:

• 2010.06.16 14.03.21 (UTC) - перше санування, вірус виявлявся трьома з 42 антивірусів;
• 2010.06.17 11.32.50 (UTC) - вірус виявлявся п'ятьма з 36 антивірусів. Symantec і «Лабораторія Касперського» в це число не входять. Додався DrWeb і Nod32 (Virustotal ще не оновив базу Microsoft'овского антивіруса);
• 2010.06.18 07.45.47 (UTC) - результат: 9 з 39. Додався Microsoft і ще кілька. «Лабораторія Касперського» і Symantec все ще не впізнають вірус;
• 2010.06.19 20.06.42 (UTC) - 17 з 41. «Лабораторія Касперського» нарешті повідомив, що в файлі вірус Trojan-Ransom.Win32.PinkBlocker.bsu. Symantec все ще не бачить вірус у файлі.

Щоб з'ясувати час, коли антивірус «Лабораторія Касперського» виявив цей вірус, я зайшов на сайт компанії і провів онлайн-сканування файлу. Судячи по базі securelist.com, час детектування - 18 червень 2010 13.51 MSK. Нагадаю, що файл на аналіз був присланий 16 червня 2010 року о 18.11 MSK.

На цьому можна було б перейти до висновків, але дивну поведінку «Лабораторії Касперського» і Symantec кілька бентежили. Може бути, це випадковість? Через п'ять днів мені випала можливість це перевірити. Розгромна замовна стаття на комп'ютері одного з користувачів нова модифікація попереднього порно-блокера не визначалась ще ніяким з перерахованих вище антивірусів, крім Nod32. Я вирішив повторити експеримент і знову розіслав файл в антивірусні лабораторії.

Як і минулого разу, першим зреагував «Доктор Веб», повідомивши мені, що присланий вірус вже є в базі (в цей раз я не робив онлайн-перевірку на сайті розробника, покладаючись на Virustotal). Через вісім годин після відправки Microsoft знову повідомив про те, що нова модифікація вірусу буде додана в базу. «Лабораторія Касперського» і Symantec в точності повторили минулі результати - прислали повідомлення про прийняття файлу для аналізу і замовкли. Через добу ні той ні інший антивіруси все ще не визначали нову модифікацію вірусу.

Для наочності отримані результати представлені в таблиці 1.

Таблиця 1. Час виявлення нового вірусу розробниками антивірусів

Розробник антивірусаЧас, витрачений на виявлення вірусу

«Доктор Веб» ~ 1 годину ESET ~ 4 години Microsoft ~ 8 годинників «Лабораторія Касперського» ~ 41 години Symantec -

Ми бачимо досить оперативну реакцію у перших трьох розробників, досить мляву у «Лабораторія Касперського» і просто байдуже ставлення у Symantec.

Говорити про останньому навіть не хочеться - якщо ви знайдете у себе в мережі вірус, який не знає Symantec, то вам залишається тільки сподіватися, що якимось чином його сигнатура все-таки потрапить в базу, тому що самі ви на цей процес вплинути, мабуть, ніяк не можете. Можливо, таке ставлення Symantec відчуває тільки до порно-Блокер (наскільки я розумію, такий тип вірусу не поширений в Америці, так як за подібний «банер» контент-провайдера завалили б колективними позовами, причому дісталося б ще й оператору, який надає обслуговування та смс-підтримку). Втім, на мій погляд, Symantec це не виправдовує.

«Лабораторія Касперського» здивувала не тільки великим часом додавання вірусу в базу, скільки тишею у відповідь на відправку файлу для аналізу. На форумі журналу в розділі «Антивіруси» в одній з гілок [5] модератор пише (орфографія збережена): «Відправляйте недетектящееся [віруси] в вірлаб використовуваного антивіруса. Цим Ви допомагаєте не тільки собі. І користувачі, які так чинять, допомагають не тільки антивірусним компаніям ». Однак при цьому хочеться отримати хоч якусь відповідь від самої антивірусної компанії, щоб знати, що твої зусилля не пропали дарма.

Звідки беруть зразки нових вірусів антивірусні компанії, які не містять на своєму сайті можливості отримати підозрілі файли на аналіз від користувачів - це ще одне цікаве запитання. Судячи зі статистики на сайті «Лабораторія Касперського» [6], щодня для аналізу їм надсилають десятки тисяч підозрілих файлів. Звичайно, я думаю, це не єдине джерело інформації про нові віруси. Але все-таки відсутність такої можливості змушує більш серйозно ставитися до чуток про те, що деякі розробники антивірусів нібито запозичують сигнатури вірусів з баз конкурентів.

Не секрет, що в битві вірусів і антивірусів останні завжди трохи позаду, так навіщо ще й відвертатися від потенційних союзників?

PS Коли ця стаття була готова, і я збирався відправляти її в редакцію, мені прийшов лист з «Лабораторії Касперського». Там говорилося, що в надісланому вдруге файлі виявлений вірус Trojan-Ransom.Win32.PinkBlocker.bus. Це радує, але принцип, за яким в «Лабораторії Касперського» то відповідають, то не відповідають користувачам на повідомлення про новий вірус, все одно залишається незрозумілим.

1. www.virustotal.com .
2. www.kaspersky.ru/scanforvirus .
3. http://vms.drweb.com/online/?lng=ru .
4. www.eset.com/online-scanner .
5. www.samag.ru/forum/index.php/topic,1321.msg8601.html#msg8601 .
6. http://www.kaspersky.com/viruswatch3 .