-
Flashcontrol - проверено: МИНЫ ЕСТЬ!
Про Flashcontrol я узнал из очередной рассылки по теме "Безопасность". Возможности программы привлекают внимание:
Flashcontrol – программа для защиты флеш-накопителей от вредоносных программ, использующих функции автозапуска.
Функции:
• удаление заблокированных, скрытых и системных файлов "autorun.inf"
• удаление исполняемых файлов вредоносных программ
• контроль за появлением вредоносных программ в реальном времени и их удаление в случае проникновения
• появление сообщения при проникновении вредоносной программы
• возможность удаления нескольких вредоносных программ, одновременно внедряющихся на ваш флеш-накопитель
• Удобный и понятный интерфейс в виде всплывающей панели, которая помогает пользователю выбрать необходимое действие.
• Возможность очистки реестра (открытие доступа к реестру, появление свойств папки в меню, разблокирование диспетчера задач, правка автозагрузки)
• Возможность отключить автозапуск дисков и флеш-накопителей
• Возможность создания списка исключений, позволяющего внести туда программы, которые не будут подвержены удалению
• Поддержка нескольких языков при работе с программой
• Возможность выгрузки уже загруженных в память вирусов
• Возможность проверки всех доступных дисков сразу
• Возможность поиска autorun-вирусов на всех дисках во всех вложенных каталогах
Паспортные данные:
статус: FreeWare
версия: 3.0
Дата: 2008-07-06
Язык: Русский, Английский
ОС: WinNT, Win2000, WinXP, Win2003, WinVista
размер: 427 кб
Автор: Taurus
http://www.taurussoft.narod.ru/
http://www.taurussoft.narod.ru/Flashcontrol_3.x.exe
Инсталлировал я её (эээ-х) из-под Админа...
Первые странности:
- инсталляция... (по умолчанию - в корень диска) (!!!)
- после инсталляции установочный файл НЕ удаляется (!!!)
- НЕ появляется в списке установленных программ (!!!)
Дальше:
- при запуске программы не проявилось ничего похожего на описанный в HELP-е интерфейс и функционал - только подобие заголовка окна в левом нижнем углу экрана;
Появляется желание деинсталлировать это чудо, однако:
1 - Revo Uninstaller здесь не поможет: программы нет в списке установленных приложений;
2 - ага! - для удаления имеется файл Uninstall.exe в папке программы! - но тут:
ВНИМАНИЕ
При попытке удаления программы HIPS-приложение ThreatFire выдает алерт с риском "VERY HIGH":
This program is attempting to copy itself to multiple locations on your computer.
- понятно без перевода... Процесс "удаления" удалось заблокировать.
Далее ThreatFire строго рекомендует НЕМЕДЛЕННО ПЕРЕЗАГРУЗИТЬ КОМПЬЮТЕР:
We strongly recommend that you reboot now to fully remove the threat.
No further rootkit scans can be run until you reboot. If you are attempting to run a new scan now, then this required reboot was never completed. PIease restart now.
Итак, сообразив, что я "попал", изгнанием и исследованием вредителя я заниматься не стал (благо был под рукой вчерашний "откат" образами).
Исследование файла-дистрибутива на VirusTotal:
Результат: 8/33
------------------------------------------------
Антивирус Версия Обновление Результат
AVG 7.5.0.516 2008.07.08 PSW.Generic5.ALZP
CAT-QuickHeal 9.50 2008.07.08 (Suspicious) - DNAScan
eSafe 7.0.17.0 2008.07.08 Suspicious File
Ikarus T3.1.1.26.0 2008.07.08 Trojan-Spy.Banker
Panda 9.0.0.4 2008.07.08 Suspicious file
Prevx1 V2 2008.07.08 Suspicious
VBA32 3.12.6.8 2008.07.08 Trojan-Spy.Win32.KeyLogger.vw
Webwasher-Gateway 6.6.2 2008.07.08 Win32.Malware.gen#PECompact!84 (suspicious)
------------------------------------------------
Выводы:
1 - Avira этого вредителя не знает (как, впрочем, и DrWeb, Kaspersky и прочая...) - похоже, из "новеньких"; интересно, что "бренды" антивирусов в очередной раз не блеснули оперативным детектом;
2 - ThreatFire немного помог, но не предотвратил инсталляцию и запуск программы;
3 - Самая большая брешь в защите системы - САМ ПОЛЬЗОВАТЕЛЬ.
С другой стороны - не станешь ВСЕ файлы из сети прогонять через "сито" типа VirusTotal - да и там не может быть 100%-ной гарантии.
А в целом - имеет смысл серьёзнее заняться HIPS-сектором защиты.
Последний раз редактировалось vau2008; 09.07.2008 в 20:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Что то непонятно почему этот HIPS такие сообщения выводил. Обычный деинсталятор...
P.S: после работы деинсталятора некаких следов в системе больше не осталось - отработал у меня на совесть.
из всех антивирусов VBA32 только на зловреда точного сказывает. У всех остальных эвристика сработала...
-
-
>>размер: 427 МБ
В размерчике не обшибся? Что-то круто такие Мб для просто утилиты.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
>>размер: 427 МБ
В размерчике не обшибся? Что-то круто такие Мб для просто утилиты.
427 КБ
Paul
-
to PavelA
Ошибся не "в размерчике", а в ЕДИНИЦАХ измерения - 427 кб (исправлено).
В остальном описании ошибок не заметил.
to zerocorporated
"...непонятно почему этот HIPS такие сообщения выводил. Обычный деинсталятор..."
На все остальные действительно "обычные" деинсталяторы ThreatFire и реагирует "обычно" - то есть без алертов.
Интересно, как повела себя эта утилита В РАБОТЕ - у тех, кому захотелось потестировать эту полезность (???).
Последний раз редактировалось vau2008; 09.07.2008 в 20:09.
-
Сообщение от
vau2008
Интересно, как повела себя эта утилита В РАБОТЕ - у тех, кому захотелось потестировать эту полезность (???).
Я прямой угрозы не вижу... а у вас есть какие то предположения?
-
-
to zerocorporated
Настораживают:
1 - рекомендация инсталляции в корень диска (кстати, я всё-таки поставил в папку - а Вы куда?); идея инсталлировать программы в корень как-то "необычна" - мягко выражаясь. Такое требование я припоминаю только за Symantec BootMagic - но его можно понять.
2 - невозможность удаления (средствами системы) файла-дистрибутива;
3 - отсутствие обещанного (в Help-е) значка программы в трее и прочего функционала;
4 - реакция ThreatFire на деинсталляцию: беспричинной паники за этим HIPS-ом я не замечал, зато сообщений по делу - навалом.
-
Сообщение от
vau2008
to zerocorporated
Настораживают:
1 - рекомендация инсталляции в корень диска (кстати, я всё-таки поставил в папку - а Вы куда?); идея инсталлировать программы в корень как-то "необычна" - мягко выражаясь. Такое требование я припоминаю только за Symantec BootMagic - но его можно понять.
2 - невозможность удаления (средствами системы) файла-дистрибутива;
3 - отсутствие обещанного (в Help-е) значка программы в трее и прочего функционала;
4 - реакция ThreatFire на деинсталляцию: беспричинной паники за этим HIPS-ом я не замечал, зато сообщений по делу - навалом.
1. Я в корень ставил.
2. Удалить средствами системы я мог все файлы.
3. Я вообще не понял как эта версия работает если честно, окна главного вообще не было. (Из за этого этой программой некто пользоваться не сможет)
-
-
Junior Member
- Вес репутации
- 59
1. В корень диска программа ставится так как предназначена в основном для Flash накопителей.
2. Удаление производится без проблем стандартными средствами системы.
3. Основное окно представляет собой всплывающую панель, которая появляется при наведении мыши на левый крайний угол экрана.
Так что программа не является вирусом и может быть использована по назначению любым пользователем.