Egor's blog. Speak no lies.

Никогда не покупайте это говно.

Относительно новая модификация заразы – по классификации Касперского Trojan-Downloader.Win32.Agent.dkld – рассылается в спаме. Все письма проходят через сервис сканирования McAfee (по сути – Google Postini). Он пропустил абсолютно всё, даже не пикнул. Но битва ещё не проиграна – есть аппаратный файрвол с движком от Касперского и защита рабочих станций! На файрволе много обнаружений в SMTP-траффике, однако большая часть заразы проскакивает, т.к. некоторые модификации вируса упакованы, а разобрать MIME/BASE64+ZIP+UPX  железке с 256 мегабайтами ОЗУ не под силу. Разумеется, находится идиот, запустивший вложение (к сожалению, сотрудников менять намного сложнее чем антивирусного вендора) и последняя надежда остаётся на защиту рабочих станций от того же McAfee. Хер там. Пропускает, а потом долго жалуется, что не может запустить какой-то из своих выполняемых файлов (вирус модифицирует раздел CLASSES реестра, ассоциируя *.exe с собой). В итоге имеем мини-эпидемию, хорошо ещё, что это только дроппер, а основную бомбу с адреса http://yougottaclimb.com/wp-content/themes/classic/uspart.exe тот же файрвол зарезал. Всё равно очень неприятно, особенно когда происходит в третий раз (пусть до этого в меньших масштабах и по другому сценарию).

Время от времени загружал вирус на virustotal.com – посмотреть, как кто реагирует. Ранним утром угрозу распознавали где-то 40% из представленных 42 антивирусов, после обеда – 60%, сейчас (вечер дня, следующего за описанными событиями) – 73%, но McAfee по-прежнему не в теме. Бесплатные ClamAV и Microsoft Security Essentials детектируют, а он ($1500) – нет.

Это говно не только ничего не ловит в принципе, но ещё и пользуется идиотскими методами маркетинга. Показывает сотню обнаружений, вот, типа, я молодец, нашёл! Из этой сотни все сто – отслеживающие cookie. Пользователи трясутся, смотрят на мигающие красивые красные лампочки, думают: “Ах, батюшки, как же я жил с такой жуткой заразой!” и покупают лицензию. То, что в отслеживающие cookie записывются чуть ли не SpyLog c Google Analytics – это никого не беспокоит.

Это говно – единственный антивирус, который с завидной регулярностью не хочет устанавливаться на абсолютно нулёвую Windows XP SP3. Это единственный антивирус со сверхидиотским интерфейсом на основе Internet Explorer.

Разворачивается и управляется Total Protection действительно удобно – фактически software-as-a-service, агенты-поросятки стучатся к мамке на нужный сервер, сервер хостится в надёжном месте, админка нарядная, проблем с управлением, пожалуй, меньше, чем с Kaspersky Administration Kit или сервером Symantec’а. Но нахрена такое нужно, если оно ничего не ловит. В топку.