Если вы доверяете только крупным, проверенным банкам, имеющим хорошую репутацию, то вы чувствуете себя спокойно. Но знайте: за вами, а точнее, за вашим банковским счетом идет охота. В любой момент вы можете оказаться жертвой фишинг-атаки.

О технологии фишинга нам рассказал Александр, бывший фишер, в настоящее время – специалист по информационной безопасности.

Схема, описанная Александром, не предполагает наличие мощного и дорогостоящего оборудования. Не нужны также высококлассные хакеры. Даже знания PHP и HTML требуются в этом деле минимальные, фишеры редко являются хорошими программистами или дизайнерами. А вот то, что действительно нужно для организации «бизнеса», - отличные знания психологии, или, как принято сейчас говорить, навыки социального инженеринга.

Фишинг-атака проводится в три этапа. На каждом из этих этапов применяются простые, но эффективные методы:

Этап 1. Добыча базы e-mail
Этап 2. Сайт-имитатор и письмо от имени банка
Этап 3. Обналичка
Примечание: Уязвимые банки

В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host Intrusion Prevention Systems), на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над персональным компьютером жертвы.

Краткое содержание:

- Введение
- Отбор вредоносных программ для тестирования
- Методология сравнительного тестирования
- Результаты сравнительного тестирования
- Комментарии экспертов

Когда-то давно в далеком 2002 мне впервые попался под руку телефон Motorola i50 с поддержкой J2ME. В то время я работал в одной софтверной компании, занимающейся в частности и разработкой ПО для мобильных телефонов, в следствие чего мне приходилось быть в курсе j2ME-технологий.

Каково же было мое удивление, когда двумя годами позже, устраиваясь на работу к одному из антивирусных вендоров, я на собеседовании узнал, что вредоносных программ на J2ME не существует. Честно говоря, был уверен, что надо мной прикалываются, но нет, на тот момент их действительно не существовало.

То, что давно предсказывалось, произошло в феврале 2006 года - в живой природе был обнаружен Trojan-SMS.J2ME.RedBrowser.a. В тот момент я думал: "Понеслось", ан нет, ошибался - вторая ласточка (Trojan-SMS.J2ME.Wesber) появилась только спустя более чем полгода, к концу 2007 года их было всего 8, к маю 2008 года - 11, к июню - 21, к 1 января 2009 года - 99, на сегодняшний день - 153.

На проактивных методах антивирусной защиты, которые позволяют антивирусу противостоять еще неизвестным видам и модификациям вредоносных программ, продолжают фокусироваться серьезные усилия всей антивирусной индустрии. Данное направление развития является наиболее перспективным на рынке, и почти каждый производитель пытается подчеркнуть, что именно его проактивная защита лучшая.

Сразу оговоримся, что проактивные технологии – довольно обширное понятие, включающее в себя множество направлений и составляющих, охватить их все в рамках одного теста не представляется возможным. В этом тесте мы будем сравнивать только эвристические компоненты антивирусной защиты (эвристики + generic-детект, т.е. расширенные сигнатуры), не принимая во внимание анализ системных событий (поведенческие блокираторы, HIPS).

Результаты этого теста дают возможность ответить на вопросы: "Насколько эффективна эвристика? В каком антивирусе этот компонент защиты работает лучше?"

В качестве приложения к тесту производилось финальное измерение уровня детектирования на собранной коллекции на обновленных антивирусах через неделю после завершения основного теста. В результате фиксировалось качество обнаружения новых вирусов, а также эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике.

» Методология проведения теста
» Анализ результатов теста и награды

Итоговые результаты тестирования и награды:
«Антивирус»: «Процент обнаруженных вирусов» - «Процент ложных срабатываний»

Награда Gold Proactive Protection Award

Kaspersky Anti-Virus 2009 (61% - 0.01%)
Eset Nod32 Anti-Virus 3.0 (61% - 0.02%)
BitDefender Antivirus 2009 (60% - 0.04%)

Награда Silver Proactive Protection Award

Avira AntiVir Premium 8.2 (71% - 0.13%)
Dr.Web 5.0 (61% - 0.2%)
AVG Anti-Virus 8.0 (58% - 0.02%)
Avast! Professional Edition 4.8 (53% - 0.03%)
Norton Anti-Virus 2009 (52% - 0%)
VBA32 Antivirus 3.12 (45% - 0.07%)
F-Secure Anti-Virus 2009 (44% - 0.03%)

Награда Bronze Proactive Protection Award

Panda Antivirus 2009 (38% - 0.02%)
Trend Micro Internet Security 2009 (37% - 0.04%)
Agnitum Outpost Anti-Virus Pro 2009 (33% - 0.07%)

Провалили тест:

Sophos Anti-Virus 7.0 (61% - 2.24%)

По результатам теста производится награждение лучших антивирусов, которые получают соответствующие награды при выполнении определенных условий:

»» Награда Platinum Proactive Protection Award присваивается, если антивирус обнаружил свыше 80% неизвестных вредоносных программ при нулевом уровне ложных срабатываний.

»» Награда Gold Proactive Protection Award присваивается, если антивирус обнаружил свыше 60% неизвестных вредоносных программ при уровне ложных срабатываний до 0.1% (1/1000).

»» Награда Silver Proactive Protection Award присваивается, если антивирус обнаружил свыше 40% неизвестных вредоносных программ при уровне ложных срабатываний до 0.5% (5/1000).

»» Награда Bronze Proactive Protection Award присваивается, если антивирус обнаружил свыше 20% неизвестных вредоносных программ при уровне ложных срабатываний до 1% (1/100).

Если антивирус обнаружил менее 20% неизвестных вредоносных программ или количество ложных срабатываний составило более 1%, то он считается провалившим тест, а его эвристическая компонента слабой или фактически отсутствующей.

Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого антивирусного продукта клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP3.

В тестировании участвовали следующие антивирусные программы*:
* Тестирование McAfee VirusScan Plus 2009 не завершено из-за технического сбоя.

1. Agnitum Outpost Antivirus Pro 2009
2. Avast! Professional Edition 4.8
3. AVG Anti-Virus 8.0
4. Avira AntiVir Premium 8.2
5. BitDefender Antivirus 2009
6. Dr.Web 5.0
7. Eset Nod32 Anti-Virus 3.0
8. F-Secure Anti-Virus 2009
9. Kaspersky Anti-Virus 2009
10. Panda Antivirus 2009
11. Sophos Anti-Virus 7.6
12. Symantec Anti-Virus 2009
13. Trend Micro Internet Security 2009
14. VBA32 Antivirus 3.12

При установке антивирусов производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.

После подготовки тестового стенда создавались специальные условия для проверки эффективности работы эвристика. Для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста (03.12.2008).

Через две недели после заморозки антивирусных баз (начиная с 18.12.2008) в "дикой природе" (In The Wild, далее ITW: корпоративные шлюзы, поступления в частные коллекции) начался отбор ITW-образцов вредоносных программ, который проходил ровно месяц. Новизна образцов определялась по отсутствию совпадений хешей по общей коллекции Anti-Malware.ru.

Таким образом, обеспечивался отбор вредоносных программ, с высокой степенью вероятности еще неизвестных антивирусам на момент прекращения обновлений (заморозки антивирусных баз). В итоге была собрана коллекция из 5166 уникальных самплов вредоносных программ.

» Симптомы заражения
» Краткое описание семейства Net-Worm.Win32.Kido
» Способы удаления
» Локальное удаление
» Централизованное удаление
» Ключи для запуска утилиты KKiller.exe из командной строки

Компания «Лаборатория Касперского» подвела итоги анализа активности вредоносных программ во Всемирной сети в прошлом месяце.

Статистика «Лаборатории Касперского» формируется на основе данных, собранных в ходе работы антивирусного продукта компании версии 2009. В рейтинг попадают те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

В связи с большим количеством вопросов пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации зловредной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

»» Что такое Kido?
»» В чем опасность Kido?
»» Как избежать заражения вредоносной программой Kido?
»» Как понять, что произошло заражение сети или компьютера?
»» Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?
»» Как бороться с Kido обычному пользователю домашнего компьютера?
»» Скачать KKiller.exe: бесплатная утилита для сканирования и удаления сетевого червя Kido