Пару дней назад мне позвонили и попросили подойти посмотреть на программу, принесенную из налоговой инспекции, которая не работала. Зашел, посмотрел…

Из налоговой инспекции была принесена флешка с программами для сдачи налоговой отчетности. Программу из одной папки установили, а вот из другой не смогли. На компьютере была установлена ОС Windows XP Home Edition и включено отображение скрытых и системных файлов и папок. Подойдя к компьютеру, не успев еще толком разглядеть экран монитора я увидел безуспешные попытки запустить программу с именем pettripet.exe из скрытой папки dzenet на флешке. На вопрос “Зачем запускать не известного происхождения файлы?” мне ответили: “Я думала это какая-то программа из налоговой”.  Обрадовав бухгалтера информацией о том, что даже если вирусу не удалось запуститься самому, то теперь-то он точно заразил компьютер, с грустным настроением я сел за клавиатуру.

В компьютере был установлен лицензионный Dr.WEB с последними обновлениями, но он не соизволил ругнуться. В заражении компьютера пропали все сомнения, когда я попытался удалить с флешки файл pettripet.exe - он не удалялся.

Заглянул в C:\Documents and Settings\User\Local Settings\Temp и обнаружил там файл с расширением .exe и временем создания таким же как и время первой попытки установки неизвестной программы. Скопировал этот файл на свою флешку, дабы отправить его куда надо… в лабораторию Dr.WEB.

Немного удивился, отсутствию факта заражения флешки вирусом, но заражения не произошло из за наличия на флешке папки с именем autorun.inf. Удалил эту папку и флешка оказалась зараженной, а именно появилась папка bembara с файлом pettripet.exe внутри и файл autorun.inf в корне флешки.

Невозможность определения вируса программой Dr.WEB меня огорчила( это уже второй случай на этом компьютере, когда Dr.WEB пропускает вирус). Я решил посмотреть кто же из антивирусов на данный момент может  определять этот вирус.

Закачал файл вируса на сайт http://www.virustotal.com и был поражен результатом сканирования:

На 12:00 20 апреля 2011 года из 41 антивируса определить этот вирус смогли лишь два ( точнее говоря один антивирус определяет, а другой сообщает о подозрении):

  • Avira AntiVir под именем TR/Crypt.EPACK.Gen2
  • Panda ( подозрение на вирус )

Не имея возможности заняться лечением компьютера, я только около около 17:00 отправил вирус в компанию Dr.WEB. Моему запросу был назначен идентификатор [drweb.com #2281744] и уже в 17:46 было получено сообщение:

Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. Угроза: Win32.HLLW.Autoruner.44048

На следующий день в мое отсутствие Сканером Dr.WEB компьютер был вылечен от вируса.

22 апреля: Решил посмотреть прогресс антивирусов в борьбе с этим зловредом по информации сайта http://www.virustotal.com. К середине дня число антивирусов способных отыскать этот вирус увеличилось:

  • AhnLab-V3: Win-Trojan/Kazy.85504.L
  • AntiVir: TR/Crypt.EPACK.Gen2
  • DrWeb: Win32.HLLW.Autoruner.44048
  • Panda: Suspicious file
  • Sophos: Mal/Generic-L

На вопрос: “А почему вы уверены, что вирус был получен с налоговой?” ответ прост: “Время создания папки с вирусом на флешке совпадает со временем нахождения этой флешки в компьютере налоговой

В налоговую позвонили еще в день получения от них вируса и предупредили, что они подверглись заражению, но они отрицали, сказав, что антивирус молчит. Сколько еще будет молчать их антивирус и сколько еще компьютеров благодаря им будем заражено…

К сожалению времени нет рассылать всем разработчикам антивирусов образцы вирусов, но будем надеяться, что этот пример демонстрирующий, что не стоит во всем полагаться на антивирусы, а стоит еще и думать головой, поможет сделать правильные выводы пользователям: Самого лучшего антивируса не существует.

Дополнения:

25.04.2011 10:00 - Примерно на десять часов утра уже 12 из 41 антивируса могут обнаруживать этот зловред ( по информации сайта http://www.virustotal.com ). К середине дня число антивирусов способных отыскать этот вирус увеличилось:

  • AhnLab-V3: Win-Trojan/Kazy.85504.L
  • AntiVir: TR/Crypt.EPACK.Gen2
  • BitDefender: Gen:Variant.Kazy.20570
  • DrWeb: Win32.HLLW.Autoruner.44048
  • F-Secure: Gen:Variant.Kazy.20570
  • GData: Gen:Variant.Kazy.20570
  • Microsoft: Trojan:Win32/Rimecud.A
  • NOD32: a variant of Win32/Kryptik.MZD
  • Panda: Trj/CI.A
  • Sophos: Mal/Generic-L
  • TrendMicro: TROJ_KRYPTK.SMU2
  • VIPRE: Trojan.Win32.Generic!BT

27.04.2011 17:45 - Примерно на 6 часов вечера ( 13:41:14 UTC) уже 18 из 41 антивируса могут обнаруживать этот вирус ( по информации сайта http://www.virustotal.com ):

  • AhnLab-V3: Win-Trojan/Kazy.85504.L
  • AntiVir: TR/Crypt.EPACK.Gen2
  • AVG: Cryptic.CRS
  • BitDefender: Gen:Variant.Kazy.20570
  • Commtouch: W32/GenBl.57FC75C4!Olympus
  • DrWeb: Win32.HLLW.Autoruner.44048
  • F-Secure: Gen:Variant.Kazy.20570
  • Fortinet: W32/KRYPTK.SMU2!tr
  • GData: Gen:Variant.Kazy.20570
  • Microsoft: Trojan:Win32/Rimecud.A
  • NOD32: a variant of Win32/Kryptik.MZD
  • Panda: Trj/CI.A
  • Sophos: Mal/Generic-L
  • Symantec: Trojan.Gen.2
  • TrendMicro: TROJ_KRYPTK.SMU2
  • TrendMicro-HouseCall: TROJ_KRYPTK.SMU2
  • VIPRE: Trojan.Win32.Generic!BT
  • VirusBuster: Trojan.Kryptik!gxaGZfgu/3A


Советуем прочитать: