Рис. 1. Письмо с вирусом в качестве приложения.
В приложении был архив, с файлом, имеющим расширение, не *.html или *.htm, а *.hta. Посмотрев его содержание в обычном
текстовом редакторе, стало понятно, что это ничто иное, как ява-скрипт, т.е. программа:
Рис. 2. Содержимое вируса в текстовом формате.
Проверка присланного файла антивирусами DrWeb и Касперского говорило об отсутствии в этом файле вируса, но
в файле присутствовало "нечто" весьма похожее на вирус.
Рис. 3. Проверка инфицированного файла антивирусом DrWeb.
Рис. 4. Содержимое вируса в текстовом формате.
Поэтому было принято решение отправить подозрительный
файл производителям антивирусов. А заодно проверить его на весьма полезном интернет ресурсе -
http://www.virustotal.com, рапорт которого поставил все точки над "i":
Рис. 5. Результат проверки на VirusTotal на 17 мая 2007 года 14:21 по московскому времени.
Таким образом, это оказался новый вирус, который опознали только 6 из 31 антивируса. Вот теперь, наблюдая за
результатами проверок на VirusTotal можно получить хронологию включения этого вируса в базы различных антивирусов.
Пока, к великому удовольствию, можно констатировать, что Российские антивирусы DrWeb и KAV, в борьбе с этим
вирусом очень достойными игроками на вирусном фронте:
Рис. 6. Результат проверки на VirusTotal на 17 мая 2007 года 22:43 по московскому времени.
Ниже помещена таблица с хронологией включения вируса, в антивирусные базы различных антивирусов:
Наименование антивирусов | Дата и время проверки антивирусной базы (год 2007) |
05-17 14:21 | 05-17 22:43 | 05-18 08:14 |
05-19 07-59 | 05-20 09-29 | 05-21 10:30 | 05-22 08-22 |
05-24 10:24 | 05-25 09:05 | 05-26 16:36 | 05-30 12:57 |
05-31 17:55 | 06-15 08:10 | 06-30 11:57 | 07-03 10:44 |
AhnLab-V3 | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
AntiVir | - | - | - | - | - | - | - |
V | V |
V | V | V | V | V |
V |
Authentium | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
Avast | V | V | V | V | V | V |
V | V | V | V | V | V | V | V |
V |
AVG | - | - | - | - | - | - | - | - |
- | - | - |
V | V | V | V |
BitDefender | - | - | - | V | V |
V | V | V | V | V | V | V | V | V |
V |
CAT-QuickHeal | V | V | V | V | V |
V | V | V | V | V | V | V | V | V |
V |
ClamAV | V | V | V | V | V | V |
V | V | V | V | V | V | V | V |
V |
DrWeb | - | V | V | V |
V | V | V | V | V | V | V | V | V | V |
V |
eSafe | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
eTrust-Vet | V | V | V | V | V |
V | V | V | V | V | V | V | V | V |
V |
Ewido | - | - | - | V | V | V |
V | V | V | V | V | V | V | V |
V |
FileAdvisor | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
Fortinet | - | - | - | - | - | - | - | - |
- | V | V | V | V | V |
V |
F-Prot | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
F-Secure | - | - | V | V | V |
V | V | V | V | V | V | V | V | V |
V |
Ikarus | - | V | V | V | V | V | V | V |
V | V | V | V | V | V |
V |
Kaspersky | - | V | V | V |
V | V | V | V | V | V | V | V | V | V |
V |
McAfee | V | ! - | - |
- | - | - | - | - |
- | - | - | - | - | - |
- |
Microsoft | - | - | - | - | - | - | - | - |
V | V | V | V | V | V |
V |
NOD32v2 | - | - | - | - | - | - |
V | V | V | V |
V | V | V | V |
V |
Norman | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
Panda | - | - | - | - | - | - |
V | V | V | V | V | V | V | V |
V |
Sophos | - | - | - | - | - | V |
V | V | V | V | V | V | V | V |
V |
Sunbelt | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
Symantec | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
TheHacker | - | - | - | - | - | - | - | - |
- | - | - | - | - | - |
- |
VBA32 | V | V | V | V | V |
V | V | V | V | V | V | V | V | V |
V |
VirusBuster | - | - | - | - | - | - |
V | V | V | V | V | V | V | V |
V |
Webwasher-Gateway | - | - | - | - | - | - | - |
V | V | V | V | V | V | V |
V |
Интересна реакция антивируса McAfee:
- версия базы 5032 от 2007-05-16 вирус определила, а более новые - НЕТ!
|
|