Защита цвета Dr.Web

Вы когда-нибудь обращали внимание на то, что каждый антивирус имеет какой-то свой, «фирменный» цвет? И это вполне логично: ведь окна антивирусной программы на мониторе – это тоже своего рода реклама, и важно, чтобы это окно было узнаваемым издалека. Время от времени антивирусы меняют свои «любимые» цвета, в некоторых и вовсе появилась поддержка скинов. Но 15 мая в одной из аудиторий БГУ господствовал цвет, который был и остается отличительным знаком продукции одной из российских антивирусных компаний; цвет, знакомый многим еще со времен незабвенного MS-DOS, – зеленый.

А что было-то?

Если среди читателей еще остались те, кто не видит взаимосвязи между зеленым цветом и заголовком этой статьи (хотя это маловероятно), поспешу объяснить. 15 мая в рамках некоммерческого фестиваля информационных технологий SAS IT Battles прошел семинар антивирусной компании ООО «Доктор Веб», фирменный зеленый цвет которой известен многим не только понаслышке, но и по ее программным продуктам. Тема семинара: «Dr.Web. Технологии защиты информации».

Гостями фестиваля на этот раз стали сразу два сотрудника ООО «Доктор Веб»: event-менеджер Ольга Демакова и аналитик Валерий Ледовской. Впрочем, обо всем по порядку.

Как готовился семинар?

Подготовка семинара началась еще в январе, когда одному из представителей компании «Доктор Веб» было отправлено письмо с информацией о фестивале SAS IT Battles и предложением для компании принять участие в жизни этого самого фестиваля, который, напомню, стартовал еще 20 ноября. Вот он, «фестиваль, создающийся на твоих глазах» в действии.

Руководство компании предложением заинтересовалось. Причем как в приятном смысле этого слова («а почему бы и нет?»), так и в смысле прямом («а серьезное ли мероприятие?»). Последовало еще около десятка писем в оба направления, после чего произошла смена караула: от SASecurity gr. (организаторов фестиваля) – руководитель группы Евгений Кучук, от «Доктор Веб» – уже упомянутая мной Ольга Демакова. Как происходило обсуждение в дальнейшем, для меня остается загадкой и по сей день, но за 2-3 месяца до семинара поступила информация: семинар состоится 15 мая, начинаем готовиться. За 3 недели до мероприятия была открыта регистрация участников. Как всегда, необязательная, но очень желательная. И самое главное – с возможностью при регистрации согласиться на выступление с докладом на тему антивирусной защиты и, возможно, получить приз от компании «Доктор Веб».

Что было на семинаре?

Валерий Ледовской начал свое выступление с рассказа о том, как оно будет проходить. В частности, предупредил, что на слайдах, где приведены скриншоты некоторых вирусов, могут быть не очень приличные изображения.

Первая часть семинара была посвящена наиболее распространенным в настоящее время вирусам. Те, кто следит за новостями, уже наверняка догадались, что первым в этом списке оказался Trojan.Winlock. Тот самый блокировщик Windows, который просит отправить SMS-ку для получения кода разблокировки. Хотя это, похоже, уже в прошлом: по словам Валерия, новые модификации этого вируса зарабатывают своим создателям деньги не с помощью коротких текстовых сообщений, а через системы электронных платежей.

Совершенно закономерным образом на одном из слайдов, посвященных Winlock’у, оказались рекомендации по борьбе с вирусом. На первом месте – очевидный, но действительно важный совет – не отправлять деньги. Далее – ссылка на специальный раздел сайта «Доктор Веб», посвященный разблокировке зараженных этим вирусом компьютеров, форум техподдержки и форум компании. И, конечно, упоминание двух продуктов, которые хорошо известны каждому, кто когда-либо был вынужден лечить зараженные компьютеры, – утилита Dr.Web CureIt! и загрузочный диск Dr.Web LiveCD.

На смену Winlock’у последовал Trojan.Encoder, шифрующий файлы и вымогающий деньги за их расшифровку. Для борьбы с этим вирусом у зеленых борцов за чистоту компьютеров имеется целая серия утилит, предназначенных для восстановления данных, зашифрованных той или иной версией вируса.

Третьим семейством вирусов, подробно рассмотренным Валерием Ледовским, стало семейство Win32.HLLW.Shadow, известное также под именами Kido и Conficker. Вирусный аналитик обратил внимание слушателей на тот факт, что вирусы, принадлежащие к этой группе, являясь мощным средством для построения бот-сетей, приносят своим создателям довольно крупные денежные суммы. Причем ведется вполне открытая торговля этим инструментом, с ценами, сопоставимыми со стоимостью лицензии на ОС Windows, что, впрочем, нисколько не останавливает злоумышленников и не мешает компании «Доктор Веб» получить порядка 200.000 детектов в неделю только вирусов этого семейства. И, как нетрудно понять, это лишь вершина айсберга, позволяющего, между прочим, своим владельцам практически беспрепятственно брать под свой контроль зараженные компьютеры и использовать их для самых разнообразный целей: для рассылки спама, атаки веб-ресурсов, подбора паролей (путем объединения жертв в распределенную вычислительную сеть), загрузки и запуска на зараженных машинах других вредоносных программ. Обратил Валерий внимание и на то, каким образом Conficker’у удается скрывать процесс передачи данных от пользователя.

Своеобразным предупреждением об опасности, которая в ближайшие годы может стать очень актуальной, прозвучало упоминание вирусов, ориентированных на системы интернет-банкинга, на примере Trojan.Bank. Специфика этого класса вредоносного ПО заключается в том, что число потенциальных жертв сравнительно невелико, и создатели этих вирусов вкладывают огромные усилия в реализацию механизма саморазмножения, позволяющего достичь большего распространения. Результаты налицо: 160.000 детектов в неделю. Целью злоумышленников в данном случае, как нетрудно догадаться, являются крупные суммы на счетах некоторых пользователей. Особо был отмечен тот факт, что Trojan.Bank’ами активно используются уязвимости в популярной программе для просмотра PDF-файлов – Adobe Reader. В ответ на вопрос о том, поддерживают ли антивирусные средства компании «Доктор Веб» лечение зараженных PDF-файлов, Валерий обратил внимание присутствующих на тот факт, что для распространения вирусов-«банкиров» в большинстве случаев используются специальным образом сформированные PDF-ки, не содержащие хоть сколько-нибудь ценной информации, а заражения пользовательских файлов этими вирусами в настоящее время не производится – то есть процедура лечения попросту бессмысленна.

За рассказом о наиболее распространенных угрозах последовала краткая информация о наиболее популярных продуктах компании для защиты корпоративных сетей, рабочих станций и мобильных устройств. Валерий рассказал об основных направлениях развития антивирусных решений, упомянув в том числе и Dr.Web Shield, предназначенный для противодействия руткитам. Значительное внимание было уделено также совсем молодым утилитам, находящимся в стадии разработки и тестирования, но уже доступным для скачивания – Dr.Web Shark и Dr.Web Log Collector, созданным для того, чтобы упростить процедуру борьбы с заражениями новыми образцами вирусного ПО. Отмечены были и такие направления разработки, как реализация полноценной «песочницы» (HIPS) и совершенствование модуля самозащиты, встроенного во все относительно крупные программные комплексы Dr.Web.

До обидного мало было сказано о Dr.Web CureNet! – инструменте для лечения корпоративных сетей, в бета-тестировании которого в конце 2009 года довелось принять участие и лично мне. А зря! Программка, надо сказать, показалась довольно эффективной, даже несмотря на то, что я работал еще с бета-версией: скорость работы сканеров приятно высокая, загрузка сканируемых машин для пользователей незаметна, удобство сбора статистической информации о сканировании сети также радует. Цена, конечно, кому-то может показаться «кусачей», но с учетом того, что предназначена она в первую очередь для корпоративных клиентов, в пересчете на рубли за единицу времени на 1 машину получается даже дешевле, чем традиционные комплексы наподобие Security Space или Enterprise Suite.

Малоизвестный факт: продукция компании «Доктор Веб» – это, как ни странно, не только программное обеспечение. Как оказалось, под этой маркой выпускаются и аппаратные решения – серверы со специальным набором антивирусного ПО. Потрогать сию диковинку, к сожалению, нам не довелось (у Валерия и Ольги и без нее сумки были очень плотно упакованы), но смысла особого в этом не было, посему участники семинара удовлетворились фотографией на одном из слайдов.

Соловья баснями не кормят…

И это, похоже, прекрасно понимали и в компании «Доктор Веб», когда отправляли свою делегацию для проведения семинара в рамках фестиваля SAS IT Battles. И те, кто пришел в этот день, вряд ли остались недовольными: ведь помимо интересной информации о компьютерных угрозах ДокторВебовцы привезли с собой еще и вполне осязаемые подарки.

Начнем с того, что при входе участникам семинара выдавался комплект всяческих «приятностей», в котором кроме ручки с логотипом SASecurity gr. оказались: брелок с надписью «Dr.Web», календарик (мелочь, а приятно) и лицензия на антивирусный комплекс Dr.Web Security Space Pro. И хотя Ольга торжественно клялась, что на подобные мероприятия им обычно выдают «ключики» на 6 месяцев, лицензионные сертификаты в конвертах упрямо твердили о сроке в 1 год.

Думаете, этим подарочный фонд семинара ограничился? Да ничего подобного! В презентации Валерия на некоторых слайдах были вопросы, касающиеся истории компании «Доктор Веб», ее продукции, деятельности и просто имеющие отношение к информационной безопасности. Любой участник семинара имел возможность поднять руку и первым ответить на вопрос, что, собственно участники и делали. Стопка маек с символикой компании медленно, но верно уменьшалась, а количество счастливых обладателей нового элемента одежды, полученного к тому же совершенно бесплатно, неуклонно росло.

О чем спрашивали?

На этот раз количество вопросов было рекордным по сравнению со всеми остальными оффлайн-мероприятиями фестиваля. Валерий Ледовской, рискну предположить, ощущал себя немногим лучше альпиниста, которого накрыла лавина, поскольку количество вопросов росло лавинообразно, а число поднятых рук, казалось, и не думало приближаться к нулю.

Спрашивали о многом, о разном. О проценте пиратских версий «Доктор Веб» в общей массе, о планах компании по развитию своих разработок. Среди пришедших на семинар оказались и те, кто, судя по всему, очень серьезно интересуются вопросами антивирусной защиты, потому что звучали и вопросы, касающиеся тех направлений, в которых компания пока не может похвастаться абсолютно уверенной своей позицией. Были вопросы каверзные – например, о том, как оценивают «Доктор Веб» вообще и Валерий Ледовской в частности положение компании на рынке антивирусных технологий; вопросы творческие – к примеру, «Кто круче: вирусы или антивирусы?».

Интересовались участники численностью сотрудников компании и количеством разработчиков и вирусных аналитиков среди них (а таковых оказалось около 150 человек из 300), требованиями к тем, кто хочет устроиться на работу в компании «Доктор Веб». Не обошли вниманием и затронутые при описании вирусов семейства Trojan.Bank уязвимости в программах для просмотра PDF-файлов. Просили прокомментировать слухи о том, что использование LiveCD для лечения зараженных компьютеров якобы может быть недостаточно эффективным.

Затем снова возвращались к вопросу о работе в сфере антивирусной защиты и интересовались тем, проводят ли специалисты компании «Доктор Веб» специальные обучающие курсы для тех, кто планирует посвятить свою жизнь борьбе с вирусными угрозами. Спрашивали о мероприятиях, проводимых компанией для поддержки студентов, интересующихся этими вопросами. И так, вопрос за вопросом, семинар продвигался к своему завершению.

Авторы наиболее интересных вопросов… получили фирменные бейсболки. А почему бы и нет?

Были ли докладчики от студентов?

К сожалению, мы вынуждены признать, что не было. Предложением выступить с пятиминутным докладом и побороться за получение специального приза от «Доктор Веб» никто не решился воспользоваться. И, надо сказать, совершенно зря: после семинара Ольга и Валерий все-таки показали организаторам один из призов. Может быть, лицензионный сертификат – это и очень хорошо, но коробочная версия, да на 2 компьютера, да с одним из самых полных комплектов Dr.Web – это, осмелюсь заметить, ни с чем несравнимая роскошь, приятная и полезная.

Впрочем, оргкомитет – это не только то сверхсекретное объединение людей, которое занимается размещением информации о фестивале SAS IT Battles, но и те секретные агенты, которые внедряются в целевую аудиторию и исследуют ее на предмет интересов, пожеланий и прочих деталей, помогающих сделать фестиваль еще лучше. Шутки шутками, но, как нам удалось выяснить, многие из тех, кто мог бы выступить на семинаре с докладом, просто побоялись, что будут выглядеть глупо рядом с «действительно серьезными докладами других участников». У страха, как известно, глаза велики.
Товарищи!!! :-) В том и заключается одна из целей фестиваля, чтобы уравнять профессионалов и любителей, свести их вместе, организовать обмен информацией, устранив попутно те барьеры, которые обычно стоят между этими группами заинтересованных людей: финансовые, пространственно- временные и т.д. Не надо бояться – надо использовать возможность.

Что еще было интересного?

Мы работали с целевой аудиторией. И нам удалось выяснить, что никак не менее трех участников семинара 15 мая отмечали день рождения. Вот такое совпадение. Конечно, этот факт не остался не замеченным.

Мы успешно попали на ту самую субботу, когда вся страна отрабатывала праздничный понедельник, случившийся неделей ранее. И на высокую явку, признаться, даже не рассчитывали: когда понедельник начинается в субботу, о явке вообще лучше не задумываться. Но нам удалось собрать немало людей. Да, многие из них торопились после семинара, выкраивали время иной раз с большим трудом. Но они пришли и, думаю, не пожалели.

Мы совершили самую настоящую диверсию! Совершенно точно могу сказать: из БГУИРа к нам на семинар студенты шли вместе с преподавателями, причем даже несмотря на то, что по расписанию в это же время были пары. Искренне надеюсь, что представители администрации университета не читают эту статью. Впрочем, даже если читают, не думаю, что они смогут вычислить диверсантов. Да и наказывать-то их не за что: они совершили вполне осознанный выбор, обменяв скучные и часто бесполезные лекции на встречу с представителями одной из компаний, в которых им наверняка доведется работать. Да и информация, которая дается на семинарах, обычно на порядок свежее и актуальнее, чем та, что предоставляется в вузах. Суровая правда жизни.

Кстати, если говорить о том, откуда к нам приходили участники семинара, то надо отметить, что наблюдение за процессом регистрации пользователей не уступало по зрелищности ни одному спортивному соревнованию. Лидеры-то определились с самого начала – БГУ и БГУИР – но какой из университетов отправит к нам большее количество участников, было сложно даже предположить, настолько вровень они шли. Как это иногда бывает в таких случаях, в последний момент, буквально за час до начала семинара количество зарегистрировавшихся участников от этих двух вузов сравнялось.

Кто еще был с нами или собирался пойти на семинар? Учебные заведения: МИТСО, БНТУ, БГТУ, БГЭУ, ГрГУ, МИУ, БГАК. Другие организации: Media Code, GenerationP, Check Point, Белинвестбанк, ООО «Альком», РЦ НБРБ. Да-да, все они уже вписали себя в историю фестиваля и заслуживают того, чтобы быть упомянутыми в отчете по семинару.

Удостоила внимания форму регистрации и Ольга Демакова. Впрочем, она вообще очень серьезно контролировала весь процесс подготовки семинара, вплоть до мелочей. И если без Валерия Ледовского семинар не был бы семинаром, то без Ольги, вероятнее всего, он бы просто не состоялся.
Сама форма регистрации тоже претерпела существенные изменения по сравнению с той, которая применялась для регистрации на предыдущий семинар, компании Zscaler Inc. В частности, у участников появилась возможность уведомлять организаторов о том, собираются ли они посетить мероприятие, могут ли опоздать, приведут ли с собой друзей и знакомых (это не запрещено ;-) ). Проще говоря, всячески изменять свой текущий статус. И эта возможность оказалась весьма востребованной.

Хочу призов!!!

Думаю, у многих читателей уже созрел вопрос о том, когда же еще будут проводиться семинары в рамках нашего фестиваля. Идти туда исключительно ради призов, не имея ни малейшего интереса к теме мероприятия, конечно, есть высшая форма мазохизма, но законодательно это не запрещено и мы, разумеется, также не ограничиваем наших участников в этом.

Итак, «семинар, создающийся на твоих глазах» продолжается. 5 июня мы ждем визита представителей Paragon Software group. 19 июня – встречаем представителей сразу многих компаний, работающих в сфере информационной безопасности, и проводим форум «Advanced Technologies of Information Security» (да-да, сокращенно это ATIS ;-) ).

Одновременно с этим мы продолжаем проводить конкурсы по самым различным направлениям информационных технологий: программирование, моддинг, взлом, защита, конкурс блогов, конкурс для дизайнеров. По-прежнему внимательно следим за посетителями нашего форума и ищем среди них наиболее активных для вручения ценных подарков по итогам фестиваля.

Мы абсолютно не исключаем возможности добавления в программу фестиваля новых мероприятий. Причем не только тех, которые держим в запасе, но и тех, которые можете предложить именно вы. Обсудим, поддержим, поможем, обеспечим проведение – продолжим создание Фестиваля на ваших глазах.

Участие во всех мероприятиях и конкурсах – бесплатное, а бонусы – вполне осязаемые. Посему торопитесь! Время идет, и финальное мероприятие фестиваля – IT Party - уже не за горами! Следите за обновлениями информации на официальном блоге фестиваля: http://it-battles.org. Не ленитесь посматривать на доски объявлений, расспрашивайте знакомых и просто участвуйте в становлении некоммерческого фестиваля информационных технологий SAS IT Battles. Ваше участие – неоценимый вклад в развитие, в сущности, совершенно нового для Беларуси явления.

Дмитрий Оношко SASecurity gr.


Компьютерная газета. Статья была опубликована в номере 21 за 2010 год в рубрике безопасность

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE