Антивирусная лаборатория Zillya! подвела традиционные итоги активности вредоносных программ в мае 2011 года. В данном выпуске итогов мы, прежде всего, хотели бы отметить возросшие объёмы распространения вредоносного программного обеспечения, дающие представление о масштабах задач, решаемых антивирусными компаниями.

За май этого года наша антивирусная лаборатория добавила в базы 118034 записей для детектирования и нейтрализации вредоносных программ. Согласно нашей классификации, было фактически подсчитано 118 тысяч новых модификаций различных вирусов и троянских программ. При этом практически все обнаруженные вредоносные программы являются модификациями каких-либо вредоносных программ, существовавших ранее. Если же и появляется какой-то новый вирус или троян, то появляется он, как правило, не в единичном экземпляре, а формирует сразу собственное семейство.

Больше всего модификаций таких программ в мае было обнаружено в семействе троянских программ псевдо-антивирусов Trojan.FakeAV.Win32 — 13863 модификации только за этот месяц. Всего же семейство FakeAV на конец мая по классификации Zillya! насчитывает более 73 тысяч модификаций. Как видно, бизнес псевдо-антивирусов чрезвычайно масштабен и развивается стремительными темпами.

Также стоит обратить внимание на необычайно большое количество модификаций червей, размножающихся в том числе и на переносных USB-накопителях — именно этот вид размножения червей наиболее популярен сейчас в нашем регионе:

Worm.Palevo.Win32 – 3430 модификаций в Мае этого года. Общее количество известных антивирусной лаборатории Zillya! модификаций червя Palevo составляет более 47 тысяч;
Worm.VBNA.Win32 – 3347 модификаций обнаруженных только в мае месяце, при общем размере семейства более 80 тысяч известных модификаций;
Worm.AutoRun.Win32 – 2239 модификаций, при общем размере семейства более 31,5 тысяч.

Антивирусная лаборатория Zillya! приводит список наиболее популярных вирусных угроз в мае 2011 года по количеству модификаций:

1. Trojan.FakeAV.Win32 — 13863
2. Trojan.VBKrypt.Win32 — 6296
3. Trojan.Kryptik.Win32 — 5433
4. Trojan.Agent.Win32 — 3911
5. Trojan.Injector.Win32 — 3569
6. Worm.Palevo.Win32 — 3430
7. Worm.VBNA.Win32 — 3347
8. Trojan.Webprefix.Win32 — 2694
9. Dropper.Agent.Win32 — 2298
10. Worm.AutoRun.Win32 — 2229

К счастью, большинство из этих модификаций вредоносных программ не успевают заразить сколько-нибудь значимое количество компьютеров. Пользователи антивирусных программ менее всего подвержены таким угрозам, остальных же пользователей спасает то, что сервера, с которых распространяются «троянцы» оперативно закрываются благодаря слаженной работе антивирусных компаний, интернет-провайдеров и правоохранительных органов. Большинство таких сайтов, с которых на ваш компьютер могут проникнуть троянцы, закрываются менее чем через сутки с момента их создания злоумышленниками. И уже на данном этапе антивирусные компании оберегают Вас, независимо от того являетесь Вы пользователем конкретного антивируса или нет. Таким образом, в «диком виде» на компьютерах пользователей встречается лишь единицы процентов от всех этих полчищ компьютерной заразы.

Итак, вашему вниманию предлагается список вредоносных программ, которые чаще всего были обнаружены антивирусными продуктами Zillya! на компьютерах пользователей:

1. Virus.Sality.Win32.15 — 1.12%
2. Backdoor.Spammy.Win32.119 — 0.84%
3. Virus.Sality.Win32.17 — 0.55%
4. Trojan.Agent.Win32.128978 — 0.51%
5. Virus.Sality.Win32.1 — 0.48%
6. Trojan.Monder.Win32.29501 — 0.43%
7. Downloader.Small.Win32.29143 — 0.42%
8. Virus.Induc.Win32.1 — 0.40%
9. Virus.Xorala.Win32.10 — 0.37%
10. Tool.ArchSMS.Win32.81 — 0.35%
11. Dropper.Inor.VBS.3 — 0.32%
12. Trojan.ArchSMS.Win32.63 — 0.29%
13. Worm.Kido.Win32.6 — 0.28%
14. Trojan.Vilsel.Win32.16054 — 0.26%
15. Trojan.Refroso.Win32.21943 — 0.25%

Итак, среди наиболее популярных программ по-прежнему фигурируют файловые вирусы Virus.Sality.Win32.15, Virus.Sality.Win32.17, Virus.Sality.Win32.1, Virus.Induc.Win32.1 и Virus.Xorala.Win32.10, суммарно составляя почти 3% всех зафиксированных вирусных инцидентов.

Тревожным знаком является обнаружение большого количества вредоносных программ, созданных специально для кражи почтовых аккаунтов пользователей. К таким программам относятся «троянцы» Trojan.Agent.Win32.128978, Trojan.Monder.Win32.29501 и Trojan.Vilsel.Win32.16054, присутствующие в нашем списке.

Мы призываем пользователей не быть беспечными, и, в случае если антивирусная программа выявила, что Ваш компьютер заражен какой-либо вредоносной программой, нелишним будет поинтересоваться в Вирусной энциклопедии о действиях данной вредоносной программы. Если среди прочего выяснится, что обнаруженная и нейтрализованная программа ворует персональные данные, в частности параметры доступа к электронной почте – незамедлительно зайдите на свой почтовый ящик и поменяйте пароль. В противном случае Ваш ящик может быть похищен злоумышленниками — они просто установят на него свой пароль, и с этого момента Вы не будете иметь к нему доступа. При этом украденный почтовый ящик может быть использован для рассылки СПАМа, в том числе и при помощи похищенных данных (таких как логин и пароль) от зарегистрированных на данную почту посторонних сайтов вроде социальных сетей и форумов.

Теперь небольшой обзор наиболее популярных семейств вредоносных программ :

1. Tool.ArchSMS.Win32 — 8.27%
2. Trojan.Agent.Win32 — 4.57%
3. Worm.Conficker.Win32 — 3.66%
4. Virus.Sality.Win32 — 2.51%
5. Downloader.Agent.Win32 — 2.15%
6. Trojan.FakeAV.Win32 — 1.53%
7. Worm.AutoRun.Win32 — 1.50%
8. Worm.Palevo.Win32 — 1.44%
9. Trojan.Buzus.Win32 — 1.40%
10. Backdoor.Spammy.Win32 — 1.31%

На первом месте с огромным отрывом находится мошенническая утилита Tool.ArchSMS.Win32. Программы данного семейства не наносят какого-либо вреда пользователю своими действиями в системе, именно потому относится к категории вредоносных программ Tool и, по сути, является не столько «вредоносной», сколько «нежелательной» программой. Они вводят пользователя в заблуждение, требуя с него деньги за то, что и так доступно бесплатно, а зачастую и попросту распространяя взломанные версии лицензионных программ. При этом никто не гарантирует, что, заплатив деньги распространителю данной программы, Вы получите то, на что рассчитывали.

Также в таблице популярных семейств мы видим семейства червей Worm.Conficker.Win32, Worm.AutoRun.Win32 и Worm.Palevo.Win32. При этом, ни одна из отдельных модификаций данных червей не является чрезвычайно популярной сама по себе – так, ни одна модификация червя Worm.Palevo.Win32 не вошла даже в TOP50 наиболее популярных вредоносных программ. Однако именно благодаря своей массовости в виде тысяч модификаций, созданных в течение одного месяца, вместе они представляют большую угрозу, формируя настоящую эпидемию.

В очередной раз ежемесячные итоги вирусной активности демонстрируют, что пользователь должен быть бдительным – тогда никакие вирусные эпидемии не будут страшны.

Команда Zillya! c радостью сообщает Вам о запуске долгожданного информационного сервиса «Вирусная энциклопедия». Путь к этому событию был усеян множеством разнообразных задач, требующих своевременного решения, поэтому он был очень долгим.

Составление вирусной энциклопедии требовало вовлечения большого количества наших вирусных аналитиков, их эффективного взаимодействия и кропотливой работы. Наш сервис находится на стадии становления, и каждый день мы стараемся добавлять все новые описания вредоносного ПО в списки.

Энциклопедия содержит описания вредоносных программ, выполненные нашими вирусными аналитиками. Сервис оснащен удобными механизмами поиска по именам вирусов — как по классификации антивирусной лаборатории Zillya!, так и по классификации других антивирусных программ.

Мы постараемся своевременно и подробно описывать наиболее популярные вредоносные программы, но, конечно же, невозможно сразу сделать описания на какой-то значительный процент Malware, так как каждый день мы добавляем в базы десятки тысяч записей для детектирования таких программ. Именно поэтому мы создаём и публикуем также общие описания семейств и классов вредоносных программ. Таким образом, даже если в данный момент в энциклопедии не окажется описания конкретной модификации вируса, которая Вас интересует, то Вам будет предложено описание семейства, к которому относится данный вирус.

Однако энциклопедия — это не только описания вирусов. На главной странице Вирусной энциклопедии Вы сможете увидеть список наиболее активных вирусных угроз. Список строится на базе анонимной информации, которую мы получаем от пользователей продуктов Zillya! при согласии на отправку такой информации на наш сервер. При этом мы имеем возможность посчитать статистику обнаруженных вирусных угроз как в общем, так и по отдельным регионам и странам. В данный момент пользователю доступна возможность просмотра общего TOP вирусов, а также отдельных списков по таким странам, как Украина и Россия – два региона, в которых наиболее популярны продукты Zillya!. Наша антивирусная лаборатория в будущем будет строить и публиковать отдельную статистику по другим странам по мере популяризации наших антивирусных продуктов в конкретных регионах.

Владельцам других WEB-сайтов, а также интернет СМИ мы предлагаем возможность подключения нашего списка популярных угроз. Для этого нами создан удобный API, который позволит Вам получить желаемые выкладки в удобной форме.

Подключение нашей вирусной статистики на Ваши ресурсы сделает Ваш сайт более динамичным. На нём всегда будет присутствовать актуальная живая информация, интересная Вашим читателям.

Антивирусная лаборатория Zillya! составила итоговый обзор вирусной активности за апрель 2011 года. Напоминаем, что анализ активности проводится на базе анонимной информации об обнаруженных вредоносных программах, получаемой от пользователей наших антивирусных продуктов.
Десятка наиболее популярных вредоносных программ, которые были обнаружены антивирусными продуктами Zillya! в апреле, выглядит следующим образом:

( Читать дальше )

Zillya! LiveCD

Разработан специально для случаев, когда операционная система пользователя повреждена вредоносным ПО и уже не в состоянии корректно работать или вообще не загружается.



Главные возможности Zillya! LiveCD
1. Полное сканирование, даже если операционная система не может быть загружена.
2. Zillya! LiveCD перед лечением делает резервные копии файлов, что дает возможность восстановить неправильно вылеченные файлы.
3. Загрузочный диск Zillya! LiveCD использует альтернативную операционную систему, имеет возможность запуска большинства Windows-программ.
4. Возможно подключение внешних USB-накопителей. Также во многих случаях есть возможность подключиться к сети Интернет.
5. Программное обеспечение Zillya! LiveCD полностью украиноязычное.

Когда пользоваться Zillya! LiveCD?
1. На компьютер не возможна установка обычной версии Zillya! Антивирус из-за повреждения вирусами определенных служб в системе. Признаками этого является падение программы-установщика, ее зависания, невозможность запустить антивирус после установки
2. Компьютер не может загрузиться. Такая ситуация возможна, если накануне Вы посещали подозрительные сайты или устанавливали новые программы — это является признаком потенциального заражения.
3. Следы заражения проявляются даже после лечения и удаление вредоносных программ. Например: файлы были удалены, а через некоторое время они снова находятся Сторожевым, или после полного удаления всех зараженных файлов признаки заражения не исчезают.

Дата обновления: 17.02.2011
Версия сканера: 1.0.0.3
Вирусная база: 3027720 записей
Размер: 383 Мб

Производители программного обеспечения предлагают огромный выбор антивирусных программ. Антивирусы становятся всё сложнее, разработчики придумывают всё новые и новые технологии обнаружения «нежелательного ПО». Как следствие, часто возникает обратная проблема – ложные срабатывания, возникающая периодически и затрагивающая всех производителей программного обеспечения. Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний. Антивирусные компании стараются обеспечивать решение таких ошибок в кратчайшие сроки, но, тем не менее, часть пользователей успевает пострадать от каждой такой оплошности.

Технический руководитель проекта Zillya! Олег Сыч предоставил комментарий:

Ложные срабатывания антивирусных программ — это большая головная боль всех антивирусных компаний. Зачастую удаление антивирусом какого-то полезного файла системы или используемого ПО для пользователя хуже, чем то, что антивирус пропустит какую-то троянскую программу. С целью минимизации случаев ложного срабатывания наших антивирусных продуктов, мы постоянно увеличиваем мощности тестового центра антивирусной лаборатории, в котором проходят тестирования все вирусные записи, перед тем как попасть в обновление антивирусных баз.

Ложное срабатывание антивирусной программы является ошибочным детектированием чистых файлов как вредоносных. Такая ошибка возникает в случае, когда файл содержит участки кода или работает по алгоритму, характерному вредоносной программе. Иными словами, часть кода, содержащегося в чистом файле, похожа на код в вирусе. Эвристический анализ не всегда может распознать код вируса из-за его шифрования. В таком случае эффективным может стать запуск поведенческого анализа.
Также ложное срабатывание может произойти тогда, когда какая-либо программа выполняет действия, которые поведенческий анализатор антивируса расценивает как действия, характерные деятельности вируса. Несмотря на шифрование вируса, его действия будут проанализированы и, если они будут походить на вирусную активность, деятельность программы будет заблокирована.
Если антивирус посчитал вирусом файл редко используемой или некритичной программы, то его действия не составят большой проблемы — программу можно восстановить, сама система продолжит работу. Однако когда речь заходит о ложных срабатываниях на системные файлы, то пользователь может столкнуться с гораздо более серьезной проблемой вплоть до необходимости переустановки системы.
Антивирусная программа, ошибочно удалившая файл не очень популярной программы, который присутствует на десяти компьютерах, не причинит столько неприятностей, сколько она вызовет, удалив системный файл с десятков миллионов ПК.
Актуальность проблемы ложных срабатываний подтверждает наличие тестов на такие ошибки, которые проводят мировые лаборатории по компьютерной безопасности. Одно из таких исследований недавно провела китайская тестовая лаборатория PC Security Labs. Основной деятельностью организации является проведение регулярных тестирований программного обеспечения, обеспечивающего компьютерную безопасность, и развитие стандартов проведения таких тестирований. Последней работой этой частной независимой исследовательской организации стало проведение тестирования 33 популярных антивирусных программ на ложные срабатывания. Тестирование проводилось в двух направлениях работы антивирусов: статические срабатывания на чистые файлы и ложные срабатывания проактивной защиты. Важно, что результаты этого теста не демонстрируют качества детектирования вредоносных файлов, а только лишь показывают уровень ложных срабатываний тестируемых антивирусов.
В тесте принимали участие последние версии антивирусных программ с самыми последними обновлениями антивирусных баз.
Тестирование состояло из анализа базы чистых файлов, а также проверки блокировки процесса установки и запуска наиболее часто используемых программ. Интересные результаты показал анализ программ, запуск и использование которых чаще всего приводит к ложным срабатываниям антивирусов. Согласно отчёту, 26.32% ложных срабатываний приходится на долю программного обеспечения по работе с ценными бумагами. Детекты игровых программ занимают 21.05% ложных срабатываний. По 13.16% ложных срабатываний выдаются на программы для доступа в Интернет и медиа программы. Специализированные отраслевые и банковские программы приняли на себя по 10.53% ошибок антивирусов, а оставшиеся 5.26% приходится на долю ПО для обеспечения безопасности компьютера.
Результаты проведённого исследования лаборатория PC Security Labs представила в виде ряда наград с делением на категории: пять, четыре и три звезды. Также опубликован список продуктов, которые не получили никаких наград, поскольку имели слишком большое количество ложных срабатываний.
Наивысшую ценность представляет награда в пять звёзд, её получили антивирусные продукты с двумя или менее ложными срабатываниями. Ими стали продукты компаний BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft иMicrosoft. Получение награды четыре звезды означало, что продукт дал три или четыре ложных срабатывания. Эту награду получили антивирусные решения разработчиков: NETGATE, Qihoo, Rising и Trend Micro. Ступеньку три звезды поделили между собой антивирусы разработчиков AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! и ArcaBit, они показали пять или шесть ложных срабатываний.
Также необходимо привести список программных продуктов, которые принимали участие в тестировании, но по результатам наград не получили – тест они не прошли. В списке оказались компании AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira и Coranti. Данные, полученные по результатам данного теста, будут использованы лабораторией PC Security Labs в будущих тестах программного обеспечения, популярного в китайском регионе.

Комментирует технический руководитель проекта Zillya! Олег Сыч:

Эффективность борьбы с ложными срабатываниями напрямую зависит от самих пользователей. Наша компания ведёт активное сотрудничество с аудиторией наших продуктов, предоставляя каждому возможности оперативно проинформировать нашу антивирусную лабораторию об обнаруженной проблеме, что позволяет свести к минимуму круг пользователей, которые потенциально могут столкнуться с этой проблемой

Среди награждённых продуктов заслуженное место занял украинский антивирус Zillya!, показавший пять ложных срабатываний и получивший награду три звезды по результатам теста. По этому показателю продукт обошёл ряд лидеров антивирусной индустрии, и таким образом продемонстрировал эффективность организованных в компании механизмов противодействия ложным срабатываниям благодаря активному общению с аудиторией пользователей. Стремление к минимизации случаев ложного срабатывания антивирусного программного обеспечения является одним из актуальных векторов развития компаний-разработчиков.

Компания «Олайти Сервис», разработчик известного программного продукта «Zillya! Антивирус», сообщает о выпуске программного комплекса Zillya! Internet Security.
Для того, чтобы обеспечить пользователям ПК значительно больший уровень безопасности, чем может дать классический антивирус, специалисты компании «Олайти Сервис», в начале июля 2010 года выпустили новый продукт Zillya! Internet Security.
Продукт Zillya! Internet Security впитал в себя все преимущества популярного и признанного пользователями антивируса Zillya!, а также, помимо этого, обрёл два новых модуля — сетевой брандмауэр и WEB-фильтр. Комментирует Олег Сыч – технический директор проекта Zillya!: «Мы всегда старались идти в ногу со временем, предлагая нашим пользователям актуальные решения для защиты их компьютеров.Zillya! Internet Security — очередной шаг в сторону совершенства наших продуктов. Это бесспорно надежное комплексное решение, которое охватывает более широкую сферу, чем просто защита от вредоносных программ».

Говоря о технической стороне, Zillya! Internet Security включает в себя:

Незначительное потребление системных ресурсов
Zillya! Internet Security в процессе работа потребляет 120-130 Мб оперативной памяти.

Простота и дружелюбность пользовательского интерфейса
Zillya! Internet Security имеет очень простой и интуитивно понятный интерфейс, доступный даже самым начинающим пользователям. Программа не содержит сложных элементов настроек и расширенных функций, имеет только самые необходимые настройки, сгруппированные по категориям.

Моментальное отображение текущего статуса продукта
Zillya! Internet Security автоматически отслеживает Системный Статус с точки зрения безопасности и показывает сжатую информацию в области Системный Статус, отображаемую на всех закладках главного окна программы.

Полный набор антивирусного функционала

Zillya! Internet Security включает в себя полноценный антивирус со всеми функциями, которые включены в Zillya! Антивирус:
— система проверки файлов в реальном времени, предназначенная для выявления вирусов и других вредоносных программ, которые пытаются проникнуть на компьютер;
— почтовый фильтр, проверяющий все почтовые сообщения на наличие вредоносных объектов, тем самым гарантируя, что ни одна угроза не проникнет в систему вместе с электронным письмом;
— эвристический анализатор, определяющий новые вирусы, записи для детектирования которых ещё отсутствуют в антивирусной базе;
— три вида сканирования – быстрое (для проверки критических областей системы), полное (проверяются полностью все файлы на компьютере), выборочное (сканирование на усмотрение пользователя);
— ежедневные обновления антивирусных баз, гарантирующих работу в максимально защищенной среде;
Более подробно о функциях и работе антивируса можно прочитать здесь

Брандмауэр уровня приложений.

— Автоматический режим работы, не требующий знаний тонкостей работы приложений в сети. Для пользователей, которые не имеют определенных знаний и навыков работы с Брандмауэром и его настройками, реализован автоматический режим. При таком режиме работы для приложений, которым для работы нужен доступ по сети, автоматически создаются правила, которые разрешают только исходящий трафик. Это позволит оптимально настроить безопасность системы, при этом не требуя никакой реакции со стороны пользователя.

— Интерактивный режим для опытных пользователей. В том случае, если пользователь знает, как правильно создавать правила для Брандмауэров, в продукте предусмотрен интерактивный режим. В таком режиме для пользователей будет доступно 4 варианта выбора действий: Block All — полностью блокирует входящий и исходящий трафик для приложения, Allow All — полностью разрешает входящий и исходящий трафик приложения, Allow Outgoing Only – разрешает приложению только исходящий трафик, Create Custom Rule – позволяет полностью настроить индивидуальные параметры доступа;

— Контроль за доступом приложений в сеть. Брандмауэр отслеживает все попытки приложений получить доступ к сети – как входящий трафик, так и исходящий;

-Защита от несанкционированных внешних атак. По умолчанию Брандмауэр разрешает приложениям только исходящий трафик. Это позволяет защитить систему от попыток получить к ней доступ извне, поскольку любые входящие запросы будут блокироваться.

-Встроенный набор правил. В программе есть встроенная база данных, содержащая все необходимые правила разрешения или блокировки (по желанию пользователя) стандартных системных сервисов или протоколов(NetBios, DHCP, DNS и т.п.) для работы с сетью. С их помощью можно разрешать или запрещать сетевую активность по таким протоколам, не разбираясь в тонкостях их работы.

— Возможность установить общие настройки для всех приложений в системе.

WEB-фильтр (защита HTTP-траффика)

— Блокировка опасных сайтов. В Zillya! Internet Security есть возможность блокировать доступ к потенциально опасным сайтам, блокируя его загрузку при просмотре в браузере. При этом пользователю выводится соответствующее уведомление;

— Блокировка потенциально опасного контента с подозрительных сайтов. Некоторые сайты добавляются в базу Zillya! Internet Security как подозрительные, или как сайты, имеющие вредоносный контент. Если сайт находится в таком списке, вы сможете посещать его, просматривать странички, но не сможете загрузить с него файлы, которые потенциально могут нести угрозу для вашего компьютера;

-Создание собственного списка блокируемых сайтов.

– два режима: полное блокирование сайта и блокирование загрузок с сайта.

Подробнее узнать о Zillya! Internet Security, а также о других наших продуктах можно, посетив нашу страничку Продукты