Пару дней назад мне позвонили и попросили подойти посмотреть на программу, принесенную из налоговой инспекции, которая не работала. Зашел, посмотрел…
Из налоговой инспекции была принесена флешка с программами для сдачи налоговой отчетности. Программу из одной папки установили, а вот из другой не смогли. На компьютере была установлена ОС Windows XP Home Edition и включено отображение скрытых и системных файлов и папок. Подойдя к компьютеру, не успев еще толком разглядеть экран монитора я увидел безуспешные попытки запустить программу с именем pettripet.exe из скрытой папки dzenet на флешке. На вопрос “Зачем запускать не известного происхождения файлы?” мне ответили: “Я думала это какая-то программа из налоговой”. Обрадовав бухгалтера информацией о том, что даже если вирусу не удалось запуститься самому, то теперь-то он точно заразил компьютер, с грустным настроением я сел за клавиатуру.
В компьютере был установлен лицензионный Dr.WEB с последними обновлениями, но он не соизволил ругнуться. В заражении компьютера пропали все сомнения, когда я попытался удалить с флешки файл pettripet.exe - он не удалялся.
Заглянул в C:\Documents and Settings\User\Local Settings\Temp и обнаружил там файл с расширением .exe и временем создания таким же как и время первой попытки установки неизвестной программы. Скопировал этот файл на свою флешку, дабы отправить его куда надо… в лабораторию Dr.WEB.
Немного удивился, отсутствию факта заражения флешки вирусом, но заражения не произошло из за наличия на флешке папки с именем autorun.inf. Удалил эту папку и флешка оказалась зараженной, а именно появилась папка bembara с файлом pettripet.exe внутри и файл autorun.inf в корне флешки.
Невозможность определения вируса программой Dr.WEB меня огорчила( это уже второй случай на этом компьютере, когда Dr.WEB пропускает вирус). Я решил посмотреть кто же из антивирусов на данный момент может определять этот вирус.
Закачал файл вируса на сайт http://www.virustotal.com и был поражен результатом сканирования:
На 12:00 20 апреля 2011 года из 41 антивируса определить этот вирус смогли лишь два ( точнее говоря один антивирус определяет, а другой сообщает о подозрении):
Не имея возможности заняться лечением компьютера, я только около около 17:00 отправил вирус в компанию Dr.WEB. Моему запросу был назначен идентификатор [drweb.com #2281744] и уже в 17:46 было получено сообщение:
Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. Угроза: Win32.HLLW.Autoruner.44048
На следующий день в мое отсутствие Сканером Dr.WEB компьютер был вылечен от вируса.
22 апреля: Решил посмотреть прогресс антивирусов в борьбе с этим зловредом по информации сайта http://www.virustotal.com. К середине дня число антивирусов способных отыскать этот вирус увеличилось:
На вопрос: “А почему вы уверены, что вирус был получен с налоговой?” ответ прост: “Время создания папки с вирусом на флешке совпадает со временем нахождения этой флешки в компьютере налоговой“
В налоговую позвонили еще в день получения от них вируса и предупредили, что они подверглись заражению, но они отрицали, сказав, что антивирус молчит. Сколько еще будет молчать их антивирус и сколько еще компьютеров благодаря им будем заражено…
К сожалению времени нет рассылать всем разработчикам антивирусов образцы вирусов, но будем надеяться, что этот пример демонстрирующий, что не стоит во всем полагаться на антивирусы, а стоит еще и думать головой, поможет сделать правильные выводы пользователям: Самого лучшего антивируса не существует.
Дополнения:
25.04.2011 10:00 - Примерно на десять часов утра уже 12 из 41 антивируса могут обнаруживать этот зловред ( по информации сайта http://www.virustotal.com ). К середине дня число антивирусов способных отыскать этот вирус увеличилось:
27.04.2011 17:45 - Примерно на 6 часов вечера ( 13:41:14 UTC) уже 18 из 41 антивируса могут обнаруживать этот вирус ( по информации сайта http://www.virustotal.com ):
Вот это новость!!!
Спасибо за свежую информацию, сейчас буду проверять своё оборудование на новый вирус. Ждём продолжения статей о вирусах.
А собственно чему удивляться? Не первый раз читаю статью о принесенном вирусе с налоговой или подобных гос учреждений.
Там же сидят тетки которые далеки от понятия “можно подцепить” или “туда лучше не лазить” и лазят где ни попади. Те же одноклассники, в контакте, icq на худой конец где любой даже знакомый может элементарно показав фотку скинуть вирус( кстати вирус через картинки описан мною на моем блоге , не судите строго а покажите своим теткам в офисе)
А вот за ссылочку огромное спасибо, будем знать и рекомендовать другим.
Программист
22|Авг|2011 3Вот программа для для создания вируса :
Вирус тащит пароли практически от всего.Пользуйтесь на здоровье!!!