Egor's blog. Speak no lies.

Попытка №1
Попытка №2
И последний шанс раскрыть миру правду о Великом Фильме.

:-)

Обновил Бубунту до Lucid Lynx. Что удивительно, в этот раз про прыщи и волосатые ладони пришлось вспомнить всего один раз – когда KPackageKit предложил сделать апгрейд, я согласился, и он тут же вылетел с ошибкой “distribution upgrade process exited with code 127″. Методом тыка был найден выход:

sudo dpkg --configure -a
update-notifier-kde -u

Ещё пришлось активировать заново экранные плазма-виджеты, но это мелочи. Грузится побыстрее, в “System settings” появилась возможность отключать тэппинг на тачпаде (ура, можно забыть про gsynaptics), обновленный Dragon Player при просмотре серии “Lost” предложил скачать какие-то лунатические кодеки (и без них нормально показывало), “штатные” Open Office и Firefox стали пошустрее (3.2 и 3.6.3). В целом – вроде ничего.

From: newvirus@kaspersky.com

postal_p_n2355224.doc.exe – Trojan.Win32.VBKrypt.ln

New malicious software was found in this file. It’s detection will be included in the next update. Thank you for your help.

И так уже третий раз за две недели. А хаккиры-сотонисты всё шлють и шлють. Перекрутил политики на брэндмауэре, чтобы из кожи вон лез, но весь SMTP-траффик разбирал по кусочкам. Но тут получается другой косяк, уже фундаментальный – тупизм паттерного метода детектирования.

На выходных наткнулись на няшку:

Подвязочная змея обыкновенная. Живородящая, ядовитых желез у неё нет, но слюна ядовита. Для человека не опасна.

McAfee будто услышал мой скулёж и решил превзойти самого себя. Сегодняшнее обновление 5958 вызывает ложное срабатывание на Windows XP SP3, в результате которого svchost.exe оказывается удалённым или закарантиненным и система рушится. Клиенты в шоке, поговаривают, что некоторые подразделения Google пользуются этим “продуктом”, и они тоже в непонятках. Короче всё, это последний нож в спину революции.

Мы все привыкли к мелкому шрифту в рекламе. Например, реклама мобильного сопровождается текстом “Изображения на экране являются имитацией”, реклама автомобиля – “Вождение профессионального каскадёра, не пытайтесь повторить” и даже в рекламе про “не айс” добавили ханжеский субтитр “лёд”. В принципе, всё это логично и понятно. Но недавно я был здорово озадачен. Реклама энергетического напитка акцентирует внимание на том, что он выгодно отличается от прочих, т.к. негазированный и объёмом всего 60 мл – фактически, концентрат. Выходит мужик из лифта, пьёт обычную “Ягу” 0,5 л, показана атмосфера крутизны и вселенского счастья, бабы вешаются гроздьями, потом неожиданно он превращается в пузатое чмо, потому что пил совсем не то, что нужно. Так вот, в момент превращения в чмо, внизу титр – что-то типа “Не настоящий процесс, показан для создания комедийного эффекта”. Спасибо что объяснили, а то вдруг кто не поймёт, расстроится.

Навеяло этим постом на dirty.ru.

Никогда не покупайте это говно.

Относительно новая модификация заразы – по классификации Касперского Trojan-Downloader.Win32.Agent.dkld – рассылается в спаме. Все письма проходят через сервис сканирования McAfee (по сути – Google Postini). Он пропустил абсолютно всё, даже не пикнул. Но битва ещё не проиграна – есть аппаратный файрвол с движком от Касперского и защита рабочих станций! На файрволе много обнаружений в SMTP-траффике, однако большая часть заразы проскакивает, т.к. некоторые модификации вируса упакованы, а разобрать MIME/BASE64+ZIP+UPX  железке с 256 мегабайтами ОЗУ не под силу. Разумеется, находится идиот, запустивший вложение (к сожалению, сотрудников менять намного сложнее чем антивирусного вендора) и последняя надежда остаётся на защиту рабочих станций от того же McAfee. Хер там. Пропускает, а потом долго жалуется, что не может запустить какой-то из своих выполняемых файлов (вирус модифицирует раздел CLASSES реестра, ассоциируя *.exe с собой). В итоге имеем мини-эпидемию, хорошо ещё, что это только дроппер, а основную бомбу с адреса http://yougottaclimb.com/wp-content/themes/classic/uspart.exe тот же файрвол зарезал. Всё равно очень неприятно, особенно когда происходит в третий раз (пусть до этого в меньших масштабах и по другому сценарию).

Время от времени загружал вирус на virustotal.com – посмотреть, как кто реагирует. Ранним утром угрозу распознавали где-то 40% из представленных 42 антивирусов, после обеда – 60%, сейчас (вечер дня, следующего за описанными событиями) – 73%, но McAfee по-прежнему не в теме. Бесплатные ClamAV и Microsoft Security Essentials детектируют, а он ($1500) – нет.

Это говно не только ничего не ловит в принципе, но ещё и пользуется идиотскими методами маркетинга. Показывает сотню обнаружений, вот, типа, я молодец, нашёл! Из этой сотни все сто – отслеживающие cookie. Пользователи трясутся, смотрят на мигающие красивые красные лампочки, думают: “Ах, батюшки, как же я жил с такой жуткой заразой!” и покупают лицензию. То, что в отслеживающие cookie записывются чуть ли не SpyLog c Google Analytics – это никого не беспокоит.

Это говно – единственный антивирус, который с завидной регулярностью не хочет устанавливаться на абсолютно нулёвую Windows XP SP3. Это единственный антивирус со сверхидиотским интерфейсом на основе Internet Explorer.

Разворачивается и управляется Total Protection действительно удобно – фактически software-as-a-service, агенты-поросятки стучатся к мамке на нужный сервер, сервер хостится в надёжном месте, админка нарядная, проблем с управлением, пожалуй, меньше, чем с Kaspersky Administration Kit или сервером Symantec’а. Но нахрена такое нужно, если оно ничего не ловит. В топку.

Негров попросили покинуть универмаг Walmart в Нью-Джерси

[... ] Вечером в воскресенье, 14 марта, из громкоговорителей в универмаге прозвучал спокойный мужской голос: “Покупатели Wal-Mart, внимание. Всем чернокожим немедленно покинуть магазин”. По словам очевидцев, и покупатели, и персонал магазина были поражены случившимся. [...]

При этом обе женщины выразили радость, что в магазине с ними не было детей, и тем не пришлось объяснять трудности межрасовых отношений. Комиссия округа Глостер по гуманитарным отношениям уже предложила всем, кто травмирован случившимся, психологические консультации.

> психологические консультации
> травмирован случившимся
> психологические консультации
> консультации

Хотел тут было написать про премудрости ночной перепрошивки Dell PowerVault MD3000 c generation 1 на generation 2 и про то, как в субботу в шесть утра волки позорные без объявления войны начали профилактику кондиционеров, мне пришлось гасить всё ненужное и 5 часов охлаждать аппаратуру вальяжно помахивая опахалом четырьмя обычными напольными вентиляторами, читая нараспев все известные молитвы, речёвки и псалмы. Но переосмыслил, не буду. Ибо и без этого у меня появляется ощущение, что на нашу шарагу навели порчу (или сглаз).

Ну раз уж начал писать – был в феврале на встрече Китайского Нового Года. Пара фоток, чтоб не подумали, что вру. :-)

Этот змей – типа, концентрированный Новый год. Как в России салат “Оливье” и драма Нади с Ипполитом по ящику.

Все украсили флагами Тайваня, провокаторы чёртовы.