Онлайн-интервью: троянские вымогатели

[NickGolovko]

Уважаемые коллеги, участники и гости проекта!

Антивирусный портал VirusInfo сообщает о новом онлайн-интервью.

Наша очередная беседа будет посвящена троянским вымогателям, блокирующим функционал операционной системы и требующим от пользователя определенных выплат за разблокировку. На вопросы зарегистрированных участников VirusInfo будет отвечать вирусный аналитик "Лаборатории Касперского" Иван Татаринов.

Формат интервью:

1. каждый участник может задать не более 2 вопросов;
2. вопросы принимаются с момента публикации настоящего анонса;
3. ответы на предложенные участниками вопросы будут поступать с 15 по 19 марта включительно.

Регистрация (для гостей)
Задать вопрос (для уже зарегистрированных участников)

Напоминаем, что респондент может проигнорировать вопрос, если сочтет его неподобающим, оскорбительным, бессодержательным и т.д. Будьте корректны и задавайте вопросы исключительно по теме анонсируемого интервью.

Иван Татаринов: краткая автобиография



Родился 27 июля 1978 года в г.Дубна Московской обл.

В 2001 закончил физический факультет Московского Государственного Университета им. М.В.Ломоносова по специальности "Физика элементарных частиц".
С 1999 занимался разработкой программ для анализа и обработки данных физических экспериментов (ОИЯИ, FermiLab, CERN).
С 2005 занимался разработкой под мобильные устройства: Symbian, Windows Mobile, Blackberry.
В 2008 года пришел в "Лаборатории Касперского" на должность сменного вирусного аналитика. Работал начальником смены сменных вирусных аналитиков. Сейчас - вирусный аналитик группы поддержки SLA. Занимается анализом вредоносных программ, разработкой лечащих утилит и сервисов.

Не женат.
Хобби: велосипед, волейбол, биатлон и снукер.

[SDA]

1. Почему ЛК молчала о эпидемии локеров (т.е. эпидемией в рамках СНГ), я имею ввиду официальные итоги http://www.securelist.com/ru/analysi..._v_2009_godu#4
ну и конечно http://www.kaspersky.ru/news?id=207733168
я уже не говорю о некоторых высказываний сотрудников ЛК на других форумах (сам вступал с ними в дискуссии на данных форумах, например http://www.anti-malware.ru/forum/ind...howtopic=12057 ).
Позиция конкурента ЛК, Веба была совсем противоположна и была видна невооруженным взглядом, для тех же новостных аналитиков по информационной безопасности.
например действия Веба:
1. http://www.drweb.com/unlocker - 750.000 заходов с 22 января.
2. Фидбэк с http://www.drweb.com/unlocker - около 50 новых кодов разблокировки, присылаемых пользователями, в сутки.
3. Общение с отделом "К" и другими государственными органами для локализации проблемы.
4. Общение с агрегаторами коротких номеров и сотовыми операторами.
подобных действий ЛК к сожалению не было видно.
Если у Вас другое мнение, жду с нетерпением аргументируемого ответа на вопрос.

[ALEX(XX)]

Здравствуйте! Как Вы думаете, почему АВ индустрия оказалась неготова к эпидемии "вымогателей"? Класс зловредов не нов, с момента первого их появления АВ продукты только улучшили свой функционал, сделали ещё больший шаг в сторону простоты для пользователя (принимая решения во многом самостоятельно), уровень защиты только поднялся. Но пользователей буквально захлестнула волна таких зловредов. Это было видно и здесь, на ВИ, и я видел (и слышал) что происходило (да и сейчас происходит) у нас в городе.

[Lexxus]

И снова я с любимыми вопросами

1) Подскажите существует ли данная проблема (блокирующая функционал операционной системы и требующим от пользователя определенных выплат за разблокировку) на мобильных устройствах. (Например Symbian, или Windows Mobile, или же Android?)

2) Существует ли опасность заражения данной заразой *nix-like систем, например Linux, или MacOS?


Спасибо.

[PavelA]

Вопрос будет простым:
Почему мы вынуждены идти в "отступление"? Подбор кодов, реализованный
у Ваших конкурентов по мне бессилие А/вируса, за который я заплатил деньги.

[parovoz]

Сколько времени еще будет продолжаться эпидемия? Когда антивирусы смогут бороться с этой дрянью без участия пользователя? Каковы Ваши предположения\прогнозы?

[tolianmd]

1 подскажите реальный способ избавления от данного типа вирусов.
2 где слабое место или что не так сделал пользователь при установке и настройке средств защиты.

[gjf]

Добрый день!

Эпидемия смс-блокеров, а также семейства TDL (aka семейство Cosmu, семейство TDSS) показало неготовность антивирусов не только к защите компьютера, но и к процессам лечения и и восстановления работоспособности. Для удаления TDL3 потребовались новые утилиты, что указывает на отсутствие унифицированной процедуры внутри самого антивирусного продукта. Реальным инструментом против смс-блокеров оказались сервисы паролей и последующая ручная зачистка.

Автор зловредов прямо издевался над Лабораторией Касперского (именование своих творений "eKAV", упоминание сотрудников и хелперов в отдельных "следах" от блокеров и т.д.), однако на фоне всего этого реакция Лаборатории Касперского выразилась в установлении детекта зловредов через пакеры (aka Packed.TDSS и семейство Krap, целый ряд пакованных блокеров), но опять же - единого универсального решения так разработано и не было. Авторы зловредов просто занимались перепаковкой своих творений, не заботясь об изменении ни кода, ни его обфусикацией. Поскольку перепаковка - дело несложное, в день можно было наблюдать до пяти "новых" зловредов с абсолютно идентичным функционалом (по сути - просто перепакованных).

Этот поток привёл к фактической блокировке и завалом аналитиков. В связи с этим реакция в виде детекта на дроппер запаздывала, и многие успевали заразиться. После заражения работа антивирусного продукта нарушалась и даже появление детекта уже ситуацию не спасало.

Сообщите пожалуйста следующее.

1. Ведутся ли работы, которые позволят в будущем исключить подобные происшествия? В чём эти работы выражаются конкретно и каков срок их исполнения?
2. Будет ли результат этих работ отражён во всех существующих поддерживаемых продуктах Лаборатории Касперского, или же коснётся только новых версий?

[av1981]

Здравствуйте. Хоте бы уложиться в 2 вопроса, но надеюсь на 1 дополнительный сверх нормы ответят. 1. Действительно ли против блокеров пока бессильна проактивная защита? 2. В интернете сейчас у ЛК и некоторых других производителей антивирусов есть сервисы по разблокированию windows и убиранию порно-баннеров, но не всегда находятся нужные коды. Туда поступает информация только присылаемая пользователями или есть какие-нибудь альтернативные пути добывания информации, например от операторов этих номеров? 3. Есть ли в планах создание обновляемой через интернет оффлайн базы данных или хотя бы большого списка кодов разблокировки для тех, у кого в результате действия блокера отключился интернет?

[brag]

Вопросы, скорее, риторические:
1. Чем, как Вы думаете, обусловлено нежелание карающих органов бороться с вымогателями?
2. Чем, как Вы думаете, обусловлено нежелание сотовых операторов бороться с вымогателями?

[anton_dr]

Когда появился первый зверёк с функционалом блокировки системы?

[Alexandr8540]

Добрый день!
1)Будет офлайн форма для разблокировки троянов таких(есть,планируется)?
2)В 2011 версии будет по умолчанию блокироваться изменение ключей реестра(что сейчас в ручную надо делать)?

[Consull]

Здравствуйте!
Уважаемый Иван, очень хотелось бы получить от Вас комментарий по такой теме.
Часть СМС-блокеров (впрочем, не только блокеры) прикрыта руткитами. Степень интеграции руткитов в систему различна, соответственно и время на их деактивацию различно. Как показывает практика - на сегодня в антивирусных утилитах общего назначения нет эффективных средств борьбы с ними. Таким образом, получается, что вирусописатели получили в свои руки очень мощный инструмент по противодействию антивирусам. Похоже это только начало, дальше это направление будет развиваться. Отсюда собственно вопрос к Вам - планируют ли в ЛК ввод в линейку своих продуктов эффективных средств борьбы с ними?!

[Andy410]

Здравствуйте. Сталкнулся продуктом описанным выше. Отключил данный банер при помощи програмки регорганайзер (посмотрел какой новый процесс прописался в автозагрузке и отключил его).
Скажите пожалуйста почему файл сданным банером не распознается Касперским как вирус?

[alivan]

Здравствуйте!
У меня ,возможно, наивный вопрос. Несколько раз сталкивался с порнолокерами.
Проблема в том, что программы вроде запускаются и действуют, но к их интерфейсу не подобраться. Возможно ли появление "окна скорой помощи", т.е. за счет возможностей АВ открыть независимое, незаблокированное окно? Ведь АВ достаточно глубоко внедряется в систему. Просто выполнение каких-либо достаточно простых операций. Что-то типа восстановление системы в AVZ...

[f1-forum]

Вопросы то примерно одинаковые, тема одна, это все понятно, а когда будут ответы?

[SDA]

Вопросы то примерно одинаковые, тема одна, это все понятно, а когда будут ответы?

С 15 марта по календарю.

[Татаринов Иван]

Добрый день! Спасибо всем участникам форума за интересные вопросы. Поехали!

Добавлено через 7 минут

1. Почему ЛК молчала о эпидемии локеров (т.е. эпидемией в рамках СНГ), я имею ввиду официальные итоги http://www.securelist.com/ru/analysi..._v_2009_godu#4
ну и конечно http://www.kaspersky.ru/news?id=207733168
я уже не говорю о некоторых высказываний сотрудников ЛК на других форумах (сам вступал с ними в дискуссии на данных форумах, например http://www.anti-malware.ru/forum/ind...howtopic=12057 ).
Позиция конкурента ЛК, Веба была совсем противоположна и была видна невооруженным взглядом, для тех же новостных аналитиков по информационной безопасности.
например действия Веба:
1. http://www.drweb.com/unlocker - 750.000 заходов с 22 января.
2. Фидбэк с http://www.drweb.com/unlocker - около 50 новых кодов разблокировки, присылаемых пользователями, в сутки.
3. Общение с отделом "К" и другими государственными органами для локализации проблемы.
4. Общение с агрегаторами коротких номеров и сотовыми операторами.
подобных действий ЛК к сожалению не было видно.
Если у Вас другое мнение, жду с нетерпением аргументируемого ответа на вопрос.

Хочу сразу заметить, что в прошлом году наблюдались гораздо более опасные эпидемии, чем Trojan-Ransom.Win32.SMSer. Тем не менее, мы разработали бесплатную утилиту “Деблокер”, подбирающую коды разблокировки, и постоянно консультировали пользователей о способах решения проблемы. Просто не использовали эту эпидемию, как единственную и неповторимую возможность повысить нашу цитируемость в СМИ.
А вообще же, “Наша служба и опасна и трудна, и на первый взгляд как будто не видна…”. Вот основные шаги, к которым прибегнула «Лаборатория Касперского» в борьбе с блокерами:
1.В феврале этого года мы отметили миллионное (!) обращение к нашему бесплатному сервису Деблокер (http://support.kaspersky.ru/viruses/deblocker)
2.Постоянно проводятся работы с правоохранительными органами
3.Работаем с сотовыми операторами (первым был Киевстар – крупнейший оператор Украины, собирающийся блокировать нечистоплотные короткие номера).
4.Касательно фидбэка от пользователей – у нас несколько иной подход при организации сервиса, чем у Др.Веба. Вместо пар “текст смс” – “код деактивации” используются генераторы текстов и кодов. В итоге “50 новых кодов разблокировки”мы захватываем одним генератором.

Добавлено через 1 минуту

Здравствуйте! Как Вы думаете, почему АВ индустрия оказалась неготова к эпидемии "вымогателей"? Класс зловредов не нов, с момента первого их появления АВ продукты только улучшили свой функционал, сделали ещё больший шаг в сторону простоты для пользователя (принимая решения во многом самостоятельно), уровень защиты только поднялся. Но пользователей буквально захлестнула волна таких зловредов. Это было видно и здесь, на ВИ, и я видел (и слышал) что происходило (да и сейчас происходит) у нас в городе.

Иногда действительно можно предсказать появление того или иного класса зловредов и подготовиться к нему (например, так было в случае с Trojan-Ransom.Win32.ImBlocker), иногда же нельзя. Однако с Winlock проблема по большей части заключается в том, что пользователь устанавливал блокеры самостоятельно. К примеру, скачивает файл видеокодеков, аудиофайлов и т.п., под видом которых скрывается не детектирующийся exe-файл. Пользователь запускает файл и получает предупреждение об опасности от системы защиты. Но он настолько уверен, что устанавливает проверенный софт, что просто игнорирует предупреждение антивируса. Есть также проблема с наплывом «псевдолегальных» блокеров: скачиваемые приложения имеют лицензионные соглашения, в которых описываются возможности блокировки. Однако мало кто из пользователей читает соглашения, и почти все добровольно соглашаются на установку зловредов. Некоторые же блокеры показывают лицензионное соглашение лишь на пару секунд, после чего автоматически устанавливаются.
Как только блокеры стали актуальной угрозой, в модули обнаружения и лечения были внесены необходимые изменения.

Добавлено через 2 минуты

И снова я с любимыми вопросами

1) Подскажите существует ли данная проблема (блокирующая функционал операционной системы и требующим от пользователя определенных выплат за разблокировку) на мобильных устройствах. (Например Symbian, или Windows Mobile, или же Android?)

В настоящий момент, программ, блокирующих мобильные устройства и просящие за разблокировку денег (через те же СМС), не обнаружено (хотя, конечно, в будущем могут появиться концепты).
На мой взгляд, для мобильных устройств СМС-блокеры не актуальны и актуальными, скорее всего, никогда не будут, потому что:
1)Зловреду гораздо проще потихоньку снимать деньги с телефона, скрыто посылая на платные номера СМС (что, кстати, многие мобильные зловреды и делают), нежели “светить себя” и требовать оплаты от пользователя.
2)Мало у кого на телефонах хранится важная и невосполнимая информация, поэтому всегда можно сделать “hard reset”, что займет от силы пару минут, а телефон после этого и без любимых программ останется телефоном

2) Существует ли опасность заражения данной заразой *nix-like систем, например Linux, или MacOS?


Спасибо.

Под Linux и MacOS по большей части сидит более аккуратная и продвинутая публика, которая своими руками может зловред найти и удалить из системы или просто не допустить его установки. Кроме того, не стоит забывать, что эти системы на порядок менее распространены, чем Windows, а блокерописатели берут именно размахом. Поэтому появление блокеров под Linux и MacOS маловероятно, не говоря уже про эпидемии.

Добавлено через 5 минут

Вопрос будет простым:
Почему мы вынуждены идти в "отступление"? Подбор кодов, реализованный
у Ваших конкурентов по мне бессилие А/вируса, за который я заплатил деньги.

Мы, между прочим, тоже коды подбираем/взламываем [скромный смайлик]: http://support.kaspersky.ru/viruses/deblocker
Подбор кода – это лишь экстренная вспомогательная служба. Одновременно с получением кодов деактивации блокеров идет модификации проактивной защиты, эвристического анализа и прочих модулей основного продукта, создаются новые рекорды детектирования. Т.е. мы идем, дыша в затылок блокерописателям, а нередко и опережаем их.
Приведу один пример: осенью года прошла волна Trojan-Ransom.Win32.ImBlocker, которую наши пользователи не заметили – почти все сэмплы ловились проактивной защитой и эвристикой.

Добавлено через 2 минуты

Сколько времени еще будет продолжаться эпидемия?

Волну программ-вымогателей можно свести на нет, просто дружно перестав отправлять СМСки.
Также можно выделить несколько “если”, которые положительным образом скажутся на ситуации:
1)… если пользователи перестанут выполнять требования вымогателей
2)…если мобильные операторы ужесточат процедуру получения/регистрации короткого номера (сделают ее хотя бы менее анонимной), ускорят решение вопроса об отключении короткого номера
3)… если пользователи станут более аккуратными, внимательными и ответственными в сети
Скорее всего, текущее состояние сохранится полгода-год. Антивирусные компании будут бороться с вымогателями все более и более успешно, но блокерописатели будут кормиться за счет тех, кто антивирус не использует или любит его отключать.
Если же сотовые операторы начнут не только сообщать пользователям, сколько стоит СМСка, но и будут активно противодействовать мошенничеству на коротких номерах (ужесточат регистрацию, устроят перерегистрацию, начтут оперативно блокировать “черные” номера), то эпидемия сойдет на нет за месяц.

Когда антивирусы смогут бороться с этой дрянью без участия пользователя?

Совсем без участия пользователей бороться вряд ли получится – искусственный интеллект пока не придуман и в антивирусные продукты не встроен L. Но уже сейчас проактивная защита и эвристика обнаруживают большую часть блокеров, и этот процент будет только расти.

Каковы Ваши предположения\прогнозы?

Сейчас можно наблюдать некоторое смещение с блокирования систем на предоставление фиктивных online сервисов (например, разные тесты, сервисы типа “раздень училку”, “сканеры одежды для КПК” и т.п.).
Если сотовые операторы активно включатся в борьбу с блокерами, то их количество резко сократится, и можно ожидать смены формы оплаты с СМС на WebMoney и т.п. сервисы. А поскольку такие формы оплаты более распространены за рубежом, то и блокеры могут начать мигрировать на запад.

Добавлено через 2 минуты

1 подскажите реальный способ избавления от данного типа вирусов.

1.Если все-таки подхватили блокера – добро пожаловать на http://support.kaspersky.ru/viruses/deblocker
2.Обновите базы, просканируйте систему с максимальными настройками антивируса (глубокий эвристический анализ и т.д. и т.п.)
3.Обратитесь в нашу службу поддержки
Все остальные способы индивидуальны и зависят от семейства и модификации зловредов. Иногда достаточно отключить автозапуск для блокера, перегрузиться и вручную удалить файл, а иногда надо написать программу в несколько тысяч строчек кода или хитрый .reg файл.

2 где слабое место или что не так сделал пользователь при установке и настройке средств защиты.

Настоятельно рекомендую держать включенными проактивную защиту и эвристический анализ (читай – средства защиты типа Internet Security). Кроме того, новый или подозрительный файл перед запуском можно проверить с максимальными настройками антивируса
Первый запуск приложения можно/нужно осуществить в “песочнице”, которая обеспечивает создание защищенной среды для выполнения потенциально опасных приложений (данная возможность есть в KAV/KIS2010). Половину всех блокеров уже можно было бы отсеять только благодаря данной функции.
Ну и, конечно, обязательно включите здравый смысл при скачивании и запуске приложений J. Если на сайте pornomegaporno.com вам предлагают установить кодек для дальнейшего просмотра, и антивирус усиленно намекает на то, что “хозяин, какое-то странное поведение у этой программы, может да ну ее нафиг?”, то я бы советовал прислушаться к советам умного антивируса.

Добавлено через 2 минуты

Добрый день!

Эпидемия смс-блокеров, а также семейства TDL (aka семейство Cosmu, семейство TDSS) показало неготовность антивирусов не только к защите компьютера, но и к процессам лечения и и восстановления работоспособности. Для удаления TDL3 потребовались новые утилиты, что указывает на отсутствие унифицированной процедуры внутри самого антивирусного продукта. Реальным инструментом против смс-блокеров оказались сервисы паролей и последующая ручная зачистка.

Автор зловредов прямо издевался над Лабораторией Касперского (именование своих творений "eKAV", упоминание сотрудников и хелперов в отдельных "следах" от блокеров и т.д.), однако на фоне всего этого реакция Лаборатории Касперского выразилась в установлении детекта зловредов через пакеры (aka Packed.TDSS и семейство Krap, целый ряд пакованных блокеров), но опять же - единого универсального решения так разработано и не было. Авторы зловредов просто занимались перепаковкой своих творений, не заботясь об изменении ни кода, ни его обфусикацией. Поскольку перепаковка - дело несложное, в день можно было наблюдать до пяти "новых" зловредов с абсолютно идентичным функционалом (по сути - просто перепакованных).

Этот поток привёл к фактической блокировке и завалом аналитиков. В связи с этим реакция в виде детекта на дроппер запаздывала, и многие успевали заразиться. После заражения работа антивирусного продукта нарушалась и даже появление детекта уже ситуацию не спасало.

Сообщите пожалуйста следующее.

1. Ведутся ли работы, которые позволят в будущем исключить подобные происшествия? В чём эти работы выражаются конкретно и каков срок их исполнения?

2. Будет ли результат этих работ отражён во всех существующих поддерживаемых продуктах Лаборатории Касперского, или же коснётся только новых версий?

Улучшенное детектирование работает уже в существующих продуктах (KAV/KIS2010)

Добавлено через 4 минуты

Здравствуйте. Хоте бы уложиться в 2 вопроса, но надеюсь на 1 дополнительный сверх нормы ответят. 1. Действительно ли против блокеров пока бессильна проактивная защита?

Блокеры ничем не отличаются от остальных зловредных программ, и их замечательно ловит как проактивная защита (+BSS эвристика, которая появилась в KAV/KIS2010), так и обычный эвристический анализ. Кроме того, не стоит забывать и про “песочницу”, которая предоставляет возможность запустить подозрительный файл в виртуальной среде. Половину блокеров можно отсеять уже на этом этапе.

2. В интернете сейчас у ЛК и некоторых других производителей антивирусов есть сервисы по разблокированию windows и убиранию порно-баннеров, но не всегда находятся нужные коды. Туда поступает информация только присылаемая пользователями или есть какие-нибудь альтернативные пути добывания информации, например от операторов этих номеров?

Насчет того, что не всегда находятся коды деактивации:
Например, произошло мелкое изменение блокера: скажем, на номер xxxx вместо word#1 блокер требует прислать text#2. Как результат, пользователи не могут получить нужный код. Однако если вводить на странице нашего сервиса только номер, на который простя отправить СМС, есть возможность получить все коды для выбранного номера– очень часто один из них является требуемым кодом деактивации.
Конечно, появляются и новые блокеры, новые алгоритмы генерации кодов – с этим приходится разбираться уже вручную. Если кода нет сегодня, он, скорее всего, появится на сервисе завтра.

3. Есть ли в планах создание обновляемой через интернет оффлайн базы данных или хотя бы большого списка кодов разблокировки для тех, у кого в результате действия блокера отключился интернет?

К сожалению, от пользователей мы получаем не так много сэмплов, как этого хотелось бы: к примеру, (блокер подхватили 100 человек, а нашли (сами или с помощью нашей службы поддержки) и выслали сэмпл лишь несколько человек.
Много сэмплов отлавливает наша автоматика (хонипоты, липучки и т.д. и т.п.), много приходит по партнерским программам (обмен сэмплами между антивирусными компаниями).
От сотовых операторов сэмплы нам не приходят (они же их не распространяют). Еще раз повторюсь – наиболее интересны и ценны файлы, получаемые от пользователей.

Добавлено через 1 минуту

Вопросы, скорее, риторические:
1. Чем, как Вы думаете, обусловлено нежелание карающих органов бороться с вымогателями?

У карающих органов желания бороться с вымогателями хоть отбавляй, но все упирается в техническую сторону вопроса - очень сложно пройти по цепочке от сэмпла и короткого номера до блокерописателя. Тем не менее, такие мероприятия ведутся, и в прошлом году было поймано несколько человек/групп и возбужден ряд уголовных дел.

2. Чем, как Вы думаете, обусловлено нежелание сотовых операторов бороться с вымогателями?

“Всему виною деньги, деньги, - Все зло от них, мне б век их не видать! (м/ф ‘Остров Сокровищ’)”. Сотовые операторы получают 10-90% от стоимости СМС.
Конечно, операторы стали предоставлять сервисы по информированию абонентов о реальной стоимости СМС, но… это почти так же как продавать огнестрельное оружие всем, не спрашивая ни справок, ни документов, а потом предупреждать жителей близлежащих районов – мол в вашем районе орудует 3 маньяка с помповыми ружьями и у них осталось еще 30 патронов.
Например, через неделю после того, как операторы взялись за борьбу с вымогателями, появился Trojan-Ransom.Win32.DigiPog, требующий прислать СМС на “волшебный” номер 9999.

Добавлено через 38 секунд

Когда появился первый зверёк с функционалом блокировки системы?

Первая программа-вымогатель появилась 20 лет назад, в декабре 1989 году. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за ее восстановление с пользователей требовали денег.
Первый SMS-блокер был зарегистрирован 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

Добавлено через 1 минуту

Добрый день!
1)Будет офлайн форма для разблокировки троянов таких(есть,планируется)?

Сделать такую программу несложно. Речь, конечно, не идет о html форме (многие алгоритмы в нее будет затруднительно вписать), но в виде flash или исполнимого файла – задача несложная. Вопрос только в том – насколько это будет удобно пользователям и насколько данная утилита будет ими востребована. Ведь алгоритмы мы пополняем и модифицируем чуть ли не ежечасно. Значит, пользователь должен каждый час скачивать данную утилиту. А если вдруг его машина окажется заблокированной, то как же он ее (утилиту), запустит?J
Есть другой вариант - наш сервис имеет и мобильную форму http://support.kaspersky.ru/sms, на которую Вы можете зайти со своего телефона.

2)В 2011 версии будет по умолчанию блокироваться изменение ключей реестра(что сейчас в ручную надо делать)?

Да, в KAV/KIS2011 планируется по умолчанию блокировать изменение ключей реестра.

Добавлено через 2 минуты

Здравствуйте!
Уважаемый Иван, очень хотелось бы получить от Вас комментарий по такой теме.
Часть СМС-блокеров (впрочем, не только блокеры) прикрыта руткитами. Степень интеграции руткитов в систему различна, соответственно и время на их деактивацию различно. Как показывает практика - на сегодня в антивирусных утилитах общего назначения нет эффективных средств борьбы с ними. Таким образом, получается, что вирусописатели получили в свои руки очень мощный инструмент по противодействию антивирусам. Похоже это только начало, дальше это направление будет развиваться. Отсюда собственно вопрос к Вам - планируют ли в ЛК ввод в линейку своих продуктов эффективных средств борьбы с ними?!

К сожалению иногда для лечения того или иного зловреда приходится создавать специальные утилиты. Это связано с тем, что “утилиты общего назначения” просто не могут содержать все методы борьбы и лечения (требования на размеры, скорость работы и т.д. и т.п.).
Тем не менее работы в этом направлении (предоставление антивирусным продуктам больших возможностей) ведутся. В каждой новой версии продукта появляется новый, более мощный и более универсальные функционал.
Касательно руткитов и борьбы с ними – над данной задачей работает целый отдел. И буквально в феврале нами был запатентован аппаратный антивирус - отдельное устройство, со своим процессором, памятью, программным обеспечением и т.п., никак не связанное с памятью и процессором ПК. Он находится в разрыве между системой и диском, что дает возможность или сканировать поток "на лету", или пометить изменные файлы и проверить их в фоном режиме. Используя аппаратные компоненты, нейтрализовать руткиты значительно проще, чем традиционными программными средствами.

Добавлено через 37 секунд

Здравствуйте. Сталкнулся продуктом описанным выше. Отключил данный банер при помощи програмки регорганайзер (посмотрел какой новый процесс прописался в автозагрузке и отключил его).
Скажите пожалуйста почему файл сданным банером не распознается Касперским как вирус?

В первую очередь, если Вы нашли зловредный файл, который не обнаружился нашим продуктом, – вышлите его на [email protected] (поставьте в названии письма какую-нибудь говорящую пометку – например “== блокер ==”).
Теперь о причинах, по которым блокер не распознался:
1)На вашем ПК стоит низкий уровень детектирования, отключена проактивная защита, эвристический анализ и т.п. – этого может оказаться достаточным, чтобы пропустить зловредную программу.
2)Блокерописатели сбили наш детект
3)Появилось новое семейство блокеров, не берущихся ни проактивной защитой, ни эвристическим анализом.
Еще раз повторю – очень хочется иметь от пользователей фитбек, часто помогает даже скриншот с экрана.

Добавлено через 44 секунды

Здравствуйте!
У меня ,возможно, наивный вопрос. Несколько раз сталкивался с порнолокерами.
Проблема в том, что программы вроде запускаются и действуют, но к их интерфейсу не подобраться. Возможно ли появление "окна скорой помощи", т.е. за счет возможностей АВ открыть независимое, незаблокированное окно? Ведь АВ достаточно глубоко внедряется в систему. Просто выполнение каких-либо достаточно простых операций. Что-то типа восстановление системы в AVZ...

Действительно, такие возможности для антивирусных продуктов планируются и должны появиться в KAV/KIS2011. Так, например, заблокировать систему станет гораздо сложнее, а разблокировать намного проще.
Но даже в текущих продуктах есть мощные системы, чтобы вообще не допустить запуска блокера – “песочница”, проактивная защита (BSS эвристика как один из компонентов проактивки), глубокий эвристический анализ. Почти все, что приходит сейчас к нам, ловится антивирусом (если не на уровне detect, то на уровне warning).

[Alexandr8540]

Огромное спасибо за ответы!

[PavelA]

Приведу один пример: осенью года прошла волна Trojan-Ransom.Win32.ImBlocker, которую наши пользователи не заметили – почти все сэмплы ловились проактивной защитой и эвристикой.

Вопрос был о конкретном малваре. Не надо отсылать к другому.