Flashcontrol - проверено: МИНЫ ЕСТЬ!

Про [I][COLOR=red]Flashcontrol[/COLOR][/I] я узнал из очередной рассылки по теме "Безопасность". Возможности программы привлекают внимание:

[COLOR=red][I]Flashcontrol[/I][/COLOR] – программа для защиты флеш-накопителей от вредоносных программ, использующих функции автозапуска.
[U]Функции:[/U]
[FONT=Courier New]• удаление заблокированных, скрытых и системных файлов "autorun.inf"
• удаление исполняемых файлов вредоносных программ
• контроль за появлением вредоносных программ в реальном времени и их удаление в случае проникновения
• появление сообщения при проникновении вредоносной программы
• возможность удаления нескольких вредоносных программ, одновременно внедряющихся на ваш флеш-накопитель
• Удобный и понятный интерфейс в виде всплывающей панели, которая помогает пользователю выбрать необходимое действие.
• Возможность очистки реестра (открытие доступа к реестру, появление свойств папки в меню, разблокирование диспетчера задач, правка автозагрузки)
• Возможность отключить автозапуск дисков и флеш-накопителей
• Возможность создания списка исключений, позволяющего внести туда программы, которые не будут подвержены удалению
• Поддержка нескольких языков при работе с программой
• Возможность выгрузки уже загруженных в память вирусов
• Возможность проверки всех доступных дисков сразу
• Возможность поиска autorun-вирусов на всех дисках во всех вложенных каталогах[/FONT]

[U]Паспортные данные:[/U]
[FONT=Courier New]статус: FreeWare
версия: 3.0
Дата: 2008-07-06
Язык: Русский, Английский
ОС: WinNT, Win2000, WinXP, Win2003, WinVista
размер: 427 кб
Автор: Taurus
[/FONT][URL="http://www.taurussoft.narod.ru/"][FONT=Courier New]http://www.taurussoft.narod.ru/[/FONT][/URL]
[URL="http://www.taurussoft.narod.ru/Flashcontrol_3.x.exe"][FONT=Courier New]http://www.taurussoft.narod.ru/Flashcontrol_3.x.exe[/FONT][/URL]

Инсталлировал я её (эээ-х) из-под Админа...
Первые странности:
[FONT=Courier New][COLOR=red]- инсталляция... (по умолчанию - в [I]корень диска[/I]) (!!!)
- после инсталляции установочный файл НЕ удаляется (!!!)
- НЕ появляется в списке установленных программ (!!!)[/COLOR][/FONT]

Дальше:
- при запуске программы не проявилось [U]ничего похожего на описанный в HELP-е интерфейс и функционал[/U] - только подобие заголовка окна в левом нижнем углу экрана;

Появляется желание деинсталлировать это чудо, однако:
1 - [COLOR=navy]Revo Uninstaller[/COLOR] здесь не поможет: программы нет в списке установленных приложений;
2 - ага! - для удаления имеется файл [I]Uninstall.exe[/I] в папке программы! - но тут:
[COLOR=red]ВНИМАНИЕ[/COLOR]
При попытке удаления программы HIPS-приложение [COLOR=navy]ThreatFire[/COLOR] выдает алерт с риском "VERY HIGH":
[COLOR=red]This program is attempting to copy itself to multiple locations on your computer.[/COLOR]
- понятно без перевода... Процесс "удаления" удалось заблокировать.

Далее [COLOR=#000080]ThreatFire[/COLOR] строго рекомендует НЕМЕДЛЕННО ПЕРЕЗАГРУЗИТЬ КОМПЬЮТЕР:
[COLOR=red]We strongly recommend that you reboot now to fully remove the threat.
No further rootkit scans can be run until you reboot. If you are attempting to run a new scan now, then this required reboot was never completed. PIease restart now.[/COLOR]

Итак, сообразив, что я "попал", изгнанием и исследованием вредителя я заниматься не стал (благо был под рукой вчерашний "откат" образами).

Исследование файла-дистрибутива на [COLOR=navy]VirusTotal[/COLOR]:
Результат: 8/33

[FONT=Courier New]------------------------------------------------
[COLOR=navy][U]Антивирус Версия Обновление Результат[/U][/COLOR] [/FONT]
[FONT=Courier New]AVG 7.5.0.516 2008.07.08 [COLOR=red]PSW.Generic5.ALZP[/COLOR]
CAT-QuickHeal 9.50 2008.07.08 [COLOR=red](Suspicious) - DNAScan[/COLOR]
eSafe 7.0.17.0 2008.07.08 [COLOR=red]Suspicious File[/COLOR]
Ikarus T3.1.1.26.0 2008.07.08 [COLOR=red]Trojan-Spy.Banker[/COLOR]
Panda 9.0.0.4 2008.07.08 [COLOR=red]Suspicious file[/COLOR]
Prevx1 V2 2008.07.08 [COLOR=red]Suspicious[/COLOR]
VBA32 3.12.6.8 2008.07.08 [COLOR=red]Trojan-Spy.Win32.KeyLogger.vw[/COLOR]
Webwasher-Gateway 6.6.2 2008.07.08 [COLOR=red]Win32.Malware.gen#PECompact!84 (suspicious)[/COLOR] [/FONT]
[FONT=Courier New]------------------------------------------------[/FONT]

[U]Выводы:[/U]
1 - [COLOR=navy]Avira[/COLOR] этого вредителя не знает (как, впрочем, и DrWeb, Kaspersky и прочая...) - похоже, из "новеньких"; интересно, что "бренды" антивирусов в очередной раз не блеснули оперативным детектом;
[FONT=Arial]2 - [/FONT][FONT=Verdana][COLOR=#000080]ThreatFire[/COLOR] немного помог, но не предотвратил инсталляцию и запуск программы;[/FONT]
3 - Самая большая брешь в защите системы - САМ ПОЛЬЗОВАТЕЛЬ.
С другой стороны - не станешь ВСЕ файлы из сети прогонять через "сито" типа [COLOR=#000080]VirusTotal[/COLOR] - да и там не может быть 100%-ной гарантии.

А в целом - имеет смысл серьёзнее заняться HIPS-сектором защиты.

Что то непонятно почему этот HIPS такие сообщения выводил. Обычный деинсталятор...

P.S: после работы деинсталятора некаких следов в системе больше не осталось - отработал у меня на совесть.

из всех антивирусов VBA32 только на зловреда точного сказывает. У всех остальных эвристика сработала...

>>размер: 427 МБ

В размерчике не обшибся? Что-то круто такие Мб для просто утилиты.

[QUOTE=PavelA;252894]>>размер: 427 МБ

В размерчике не обшибся? Что-то круто такие Мб для просто утилиты.[/QUOTE]
427 [b]К[/b]Б

Paul

to [B]PavelA[/B]

Ошибся не "в размерчике", а в ЕДИНИЦАХ измерения - 427 [B]кб[/B] (исправлено).
В остальном описании ошибок не заметил.

to [B]zerocorporated[/B]

[I][COLOR="Navy"]"...непонятно почему этот HIPS такие сообщения выводил. Обычный деинсталятор..."[/COLOR][/I]

На все остальные действительно "обычные" деинсталяторы [COLOR="navy"]ThreatFire [/COLOR]и реагирует "обычно" - то есть [U]без алертов[/U].

Интересно, как повела себя эта утилита В РАБОТЕ - у тех, кому захотелось потестировать эту полезность (???).

[QUOTE=vau2008;253283]
Интересно, как повела себя эта утилита В РАБОТЕ - у тех, кому захотелось потестировать эту полезность (???).[/QUOTE]

Я прямой угрозы не вижу... а у вас есть какие то предположения?

to [B]zerocorporated[/B]

Настораживают:
1 - рекомендация инсталляции в [U]корень диска[/U] (кстати, я всё-таки поставил в папку - а Вы куда?); идея инсталлировать программы в корень как-то "необычна" - мягко выражаясь. Такое требование я припоминаю только за [COLOR=navy]Symantec BootMagic[/COLOR] - но его можно понять.
2 - невозможность удаления (средствами системы) файла-дистрибутива;
3 - отсутствие обещанного (в Help-е) значка программы в трее и прочего функционала;
4 - реакция [COLOR=#000080]ThreatFire [/COLOR][COLOR=black]на деинсталляцию: беспричинной паники за этим HIPS-ом я не замечал, зато сообщений по делу - навалом.[/COLOR]

[QUOTE=vau2008;253298]to [B]zerocorporated[/B]

Настораживают:
1 - рекомендация инсталляции в [U]корень диска[/U] (кстати, я всё-таки поставил в папку - а Вы куда?); идея инсталлировать программы в корень как-то "необычна" - мягко выражаясь. Такое требование я припоминаю только за [COLOR=navy]Symantec BootMagic[/COLOR] - но его можно понять.
2 - невозможность удаления (средствами системы) файла-дистрибутива;
3 - отсутствие обещанного (в Help-е) значка программы в трее и прочего функционала;
4 - реакция [COLOR=#000080]ThreatFire [/COLOR][COLOR=black]на деинсталляцию: беспричинной паники за этим HIPS-ом я не замечал, зато сообщений по делу - навалом.[/COLOR][/QUOTE]

1. Я в корень ставил.
2. Удалить средствами системы я мог все файлы.
3. Я вообще не понял как эта версия работает если честно, окна главного вообще не было. (Из за этого этой программой некто пользоваться не сможет)

1. В корень диска программа ставится так как предназначена в основном для Flash накопителей.
2. Удаление производится без проблем стандартными средствами системы.
3. Основное окно представляет собой всплывающую панель, которая появляется при наведении мыши на левый крайний угол экрана.
Так что программа не является вирусом и может быть использована по назначению любым пользователем.