Касперский это вирус или нет
Мы занимаемся разработкой утилиты «Чистилка», которая выявляет и очищает вредоносные, рекламные и прочие мусорные объекты.
Наша основная целевая аудитория — люди 40 лет и старше, которые скачивают с первых попавшихся сайтов музыку, фильмы, книги, устанавливают расширения в браузер вроде «Бесплатные стикеры для Одноклассников», а потом у них начинают произвольно открываться вкладки с онлайн-казино, запускаются криптомайнеры и так далее. Обычно антивирусы не чистят то, что чистим мы.
Проект рос и развивался. Проблемы начались 11 февраля, когда наш пользователь написал в поддержку о том, что антивирус Dr.Web удалил «Чистилку» с его компьютера. Мы проверили, и это подтвердилось: Dr.Web блокировал файл уже при скачивании, обзывая нас трояном.
Думаете, проблема решилась? Это было только начало. В последующие полтора месяца наши юзеры периодически жаловались на то, что нас детектирует то Dr.Web, то Kaspersky, но все это выглядело единичными случаями, мы не смогли выяснить точные факторы, при которых нас детектируют антивирусы.
Стоит отметить, что с «Лабораторией Касперского» у нас был заключен договор об участии в программе Whitelist.
Программа Whitelist обеспечивает добавление легитимного ПО в базу знаний Whitelist «Лаборатории Касперского». Зарегистрироваться в программе могут вендоры и разработчики ПО, заинтересованные в превентивном решении проблемы ложных срабатываний сегодня или в будущем.
Каждая новая сборка «Чистилки» отправлялась на сервера «Касперского». Все это работало до.
В этот день мы получили ответ о том, что файлы не обработаны из-за «Object collision expertise», а затем от наших юзеров мы узнали, что некоторые конкретные версии антивирус Касперского стал определять как HEUR:Trojan-Dropper.Win32.Potao.gen . Мы сразу написали вопрос сотруднику, отвечающему за Whitelist у «Касперского».
Пришел ответ, что файлы обработаны, ошибка была на стороне «Касперского», теперь всё отлично. Помимо этого выяснилось, что нас тщательно проверил какой-то вирусный аналитик и вручную присвоил нам такой детект — UDS.hoax.Win32.PCChist.
Вот как на сайте антивируса описана категория Hoax:
При отправке файлов в Whitelist снова стали приходить ошибки. Ответа пришлось ждать неделю.
Почему приложения надо ставить только из официальных источников — объясняем на примере поддельного Kaspersky Internet Security для Android.
Почти в каждом посте про Android мы обязательно говорим, что приложения следует устанавливать только из официальных источников. И вот нам попался пример, который отлично иллюстрирует, почему: через совсем неофициальные источники мошенники распространяют банковский троян под видом популярных медиаплееров, приложений для фитнеса и чтения, а также… Kaspersky Internet Security для Android. Разберем этот случай немного подробнее.
Как быть уверенным, что не скачиваешь поддельное приложение
Teabot распространяют не только под видом антивируса, но и под видом известных государственных приложений, банковских приложений, программ для фитнеса, чтения и так далее. Их, конечно же, тоже ставить откуда попало не стоит. Если вам нужно то или иное приложение крупного банка, антивирус или, скажем, известная фитнес-программа — скачайте ее из официального магазина, она наверняка там есть. Лучше вообще отключить возможность установки приложений не из официальных источников, благо в Android такая функция предусмотрена.
Также стоит очень внимательно относиться к тому, какие разрешения вы даете приложениям. Если то же приложение для фитнеса вдруг просит у вас доступ к «Специальным возможностям» (Accessibility) — это повод как следует задуматься.
Ну и используйте настоящий антивирус, благо у Kaspersky Internet Security для Android есть полностью бесплатная версия, так что нет никакого смысла пытаться скачивать ее из сторонних источников. Вы можете найти наш антивирус как в Google Play, так и в Huawei AppGallery.
Последние события с вирусом "Курникова", многочисленными модификациями вирусов "ILOVEYOU", "Melissa" и др. подтверждают опасность, которую представляют собой продукты вирусных генераторов: по оценке "Лаборатории Касперского" количество пострадавших компьютерных систем достигает 100 000 единиц. Учитывая современные тенденции в развитии вредоносных программ, "Лаборатория Касперского" обращает особое внимание на обеспечение пользователей защитой от этой разновидности вирусов. В данном случае недостаточно просто добавлять в антивирусную базу данных описания новых вирусов уже после их обнаружения: в таком случае пользователь всегда, хоть на самое короткое время, будет беззащитен перед вирусом, который может уничтожить результаты многолетних трудов. "Здесь необходим комплексный подход, чтобы антивирусная программа всегда была на шаг впереди вирусов и была способна отразить атаки даже тех из них, которые еще не созданы", - сказал Евгений Касперский, руководитель антивирусных исследований компании. Помимо первой в мире технологии эвристического анализа второго поколения для поиска неизвестных вирусов, Лаборатория Касперского разработала уникальный алгоритм защиты от вирусных генераторов. Он обеспечивает 100% гарантию не только от известных, но и вообще от любых вирусов, созданных при помощи "Vbs Worms Generator" и многим ему подобным утилитам.
Для активизации нового универсального антивирусного модуля для защиты от вирусного генератора "Vbs Worms Generator" пользователям Антивируса Касперского достаточно загрузить ежедневное обновление базы данных программы от 11 марта.
евгений касперский к вашему сведеню давно сам уже не пишет антивирусных программ!и ваще хрен знает чем занимется..я слушал его интервью по серебряному дождю-он уверяет что весь в работе-но за несколько лет ни одной проги не написал. что,он развлекается тем что катается по офису на самокате. так какой нахрен касперский тогда.
Много лет пользуюсь Каспером (честно покупаю ключик) . Ни тормозов, ни дурацких блокировок не замечал. Всегда по делу блокирует и если хочеться что то поставить в обход рекомендации, то всегда можно внести эту прогу в довереную зону антивиря.
какспрский это вполне неплохой антивирус, кто умеет с ним работать. хотя сегодня у кореша порно плагин не мог найти. так и висел бы если я касперского не снес и не поставил Nod32. nod 32 моментом нашел эту гадость и отправил в карантин. у меня Dr web такую фигню находил и без проблем удалял, а я с ним 2года работал.
Мне кажется -это супер вирус. Он у меня так вопил на все подряд, что приходилось его постоянно отключать, даже, чтобы игру установить. Надоел до смерти. Еще и ключи эти вечные. Снесла его. Поставила Аваст и ничего, за четыре года комп никто не сьел.
Касперский Free это Антивирус который скрывает в себе троян в Pro нет вирусов специально во Free сделали вирус чтобы покупали Pro!
Меня задолбал обновлениями программы. Ключи куплены на определённую версию, при установке снимаю галочки "обновлять программу", в настройках - аналогично. Всё равно раз в месяц-полтора сам обновляется до новой версии. Естественно ключ не подходит, приходиться сносить и устанавливать "свою" версию. Получается, что Касперский - ВИРУС, хоть и пользуюсь им.
Как связаны Русские Хакеры, Американские Шпионы, Израильские Спецслужбы и «Лаборатория Касперского». И что вообще происходит?
16 октября 2017
— А что случилось, и почему СМИ пишут про Касперского?
Англоязычные СМИ порой пишут, что тамошние спецслужбы подозревают «Лабораторию Касперского» в сотрудничестве с разведкой. Но недавно случилось обострение. Если вкратце, то несколько англоязычных изданий удивительно синхронно написали, что защитное решение «Лаборатории Касперского» якобы было использовано для кражи секретных файлов Агентства национальной безопасности США (NSA). Причем эти файлы не то сотрудник, не то подрядчик АНБ принес домой на флешке, а там на компьютере был установлен продукт «Лаборатории Касперского». Затем эти секретные файлы якобы попали к Русским Хакерам, работающим то ли на ФСБ, то ли на ГРУ, то ли на кого-то еще в том же духе — не уточняется.
— Что, прямо так взял и принес домой секретные данные?
Все публикации основаны на информации от анонимных источников, поэтому проверить их невозможно. Но говорят, что да, прямо вот записал на флешку и принес домой сверхсекретную информацию. Вот тут еще говорят, что вынести секретные файлы из элитного подразделения хакеров NSA — как отнять конфетку у ребенка, то есть проще простого.
— А что за секретные файлы?
Не уточняется. Возможно, какое-то кибероружие — то есть вирус военного/шпионского назначения. Подрядчик, получается, решил поработать над кибероружием из дома, а наш антивирус это кибероружие неожиданно обнаружил. Сюрприз!
— А при чем здесь Израиль?
В последних новостях некий неназванный источник рассказал журналистам, что якобы Израильские Спецслужбы, которые хакнули «Лабораторию Касперского» в 2015 году, все видели и подтвердили, что наш антивирус помогал Русским Хакерам заполучить те самые секретные файлы, которые тот самый неназванный сотрудник NSA принес домой.
— А какие предъявлены доказательства?
Вообще никаких доказательств никто нигде не предъявляет.
— А от кого эту информацию получили журналисты?
И это тоже не уточняется. «По словам нескольких людей, которые в курсе дела», — вот прямо так и написано. Ни имен, ни должностей — ничего. Более того, самим же журналистам не удалось добыть ни одного официального подтверждения или комментария. Ну кроме как от нас — что мы всю эту чушь отрицаем.
— И что из этого правда?
И снова неизвестно — источник-то анонимный, а доказательств не приведено. Упоминается, что все это происходило в 2015 году — и в этом году мы действительно обнаружили, что нас кто-то взломал. Вот здесь об этом можно почитать подробнее. Забавно, что наш отчет по Duqu 2.0 является единственным фрагментом истории, где есть проверяемые факты. Чтобы расследовать все остальное, мы сами обратились к американским спецслужбам и другим организациям с просьбой сообщить факты, на которые ссылаются СМИ.
Если же говорить не про факты, а про мнения, то на одной чаше весов — несколько американских СМИ, ссылающихся на анонимные источники в спецслужбах, а на другой — вполне конкретные заявления авторитетных людей и организаций, таких как Интерпол и немецкая киберполиция BSI. Эти специалисты заявляют, что в шпионской деятельности «Лаборатория Касперского» и ее продукты не замечены, а цель у нас общая — борьба с киберпреступностью.
— Русские Хакеры, говорите. Что, Касперский правда помогает российским спецслужбам?
Мы помогаем правоохранительным органам (причем глобально, а не только в России), но лишь в одном — ловить киберпреступников.
Это сотрудничество иногда помогает нам сделать, например, дешифратор от очередного шифровальщика-вымогателя, позволяющий жертвам вернуть пострадавшие файлы (бесплатно, без регистрации и СМС). Или еще какую-нибудь полезную штуку, вроде сайта, на котором можно проверить, не состоит ли ваш компьютер в ботнете.
Кибершпионам и кибервоенщине мы не помогаем никогда — это противоречит нашим принципам. Мы не участвуем в шпионаже.
— А правда, что антивирус Касперского собирает данные с компьютеров?
Да, правда, но это не личные данные наподобие документов и фотографий. В наших продуктах, как и в антивирусах большинства других компаний, есть облачная защита. Она помогает реагировать на появление новых угроз и защищать всех наших пользователей буквально в течение минуты. У нас она называется Kaspersky Security Network (KSN). В рамках работы KSN антивирус действительно может передавать в облако файлы, но это касается только вредоносных или подозрительных файлов. Подробнее про это написано здесь.
Кстати, KSN можно отключить при инсталляции продукта, а также в любой момент после этого, в настройках защиты. Если вы занимаетесь разработкой кибероружия на своем домашнем компьютере, вероятно, лучше так и сделать — иначе созданный вами зловред сразу попадет в наши антивирусные базы, и весь ваш труд насмарку. Для корпоративных клиентов существует KPSN — Private Security Network, которая обеспечивает тот же уровень защиты, но не передает вообще никаких данных на серверы «Лаборатории Касперского».
— В Штатах госорганы отказываются от продуктов Касперского. Мне тоже надо?
Вся эта шумиха — чистая геополитика, не имеющая никакого отношения к тому, хорошие мы делаем защитные решения или плохие. По данным независимых (как от Русских Хакеров, так и от Американских Политиков) исследований, наше решение — одно из лучших, а по совокупной характеристике — так и вовсе лучшее. Дальше решайте сами.
— Вы выяснили, что же на самом деле произошло?
Мы не могли оставить все эти обвинения без ответа, так что мы провели внутреннее расследование, чтобы лучше разобраться в ситуации и добраться до настоящих фактов. Результаты этого расследования оказались крайне интересными. На нашем блоге им посвящен отдельный пост.
Речь о т.н. «антивирусе» Касперского, который на самом деле является вирусом ФСБ. Сегодня этот вирус добровольно установлен на более 400 млн. компьютерах по всему миру.
Теперь, американская разведка официально предупредила промышленные компании не использовать вирус Касперского. Год назад о связях «лаборатории Касперского» с российскими спецслужбами написало агентство«Блумберг».
Софт от ФСБ могут свободно «взломать» хакеры-чекисты. Об этом говорится в уведомлении разведуправления министерства обороны США, которое, как пишет The Washington Free Beacon, было разослано в Пентагоне.
Чиновники из оборонной сферы, которые ознакомились с документом, рассказали изданию, что опасность может грозить компаниям, работающим в сфере электро— и водоснабжения, а также других промышленных секторах.
В ведомстве считают, что ПО позволяет ФСБ получить доступ к системам управления и сбора данных, а также к программам, которые отвечают за работу электро-, нефте— и газовых сетей, водопровода, очистки сточных вод и плотин.
Кроме того, американские чиновники сообщили, что спецслужбы России и Китая занимаются «киберразведкой» в промышленных сетях для проведения будущих атак.
Представители военной разведки Пентагона отказались комментировать полученные изданием сведения. В «лаборатории» ФСБ имени Касперского тем временем заявили, что их продукты «предназначены для защиты от злоумышленников и вредоносных угроз и не могут быть использованы для нанесения вреда какой-либо организации или юридическому лицу».
Напомним, что Кавказ-Центр уже много лет пишет и предупреждает, что т.н. «антивирус» Касперского на самом деле является разработкой ФСБ (сам Касперский кадровый офицер российских спецслужб). Этот вирус используется для взлома компьютерных систем как рядовых пользователей, так и политических и промышленных объектов.
Зловредный антивирус из неофициального источника
Вот пример: не так давно исследователи выпустили отчет, в котором рассказывали об Android-приложениях, распространяемых через различные фейковые сайты. Среди прочего там был и поддельный Kaspersky Internet Security для Android.
В Google Play наш настоящий мобильный антивирус сейчас называется Kaspersky Mobile Antivirus: Applock & Web Security. А мошенники распространяли свою подделку под именем Kaspersky Free Antivirus (продукт с таким названием у нас раньше был, но только для Windows).
Пользователь, скачавший этот фейковый «антивирус» с очень убедительного стороннего сайта, вместо антивируса получал — вот ирония! — банковский троян, известный как Teabot (наши защитные решения детектируют его как HEUR:Trojan-Banker.AndroidOS.Teaban или HEUR:Trojan-Banker.AndroidOS.Regon).
Почему именно в случае антивируса это особенно проблематично? Потому что пользователь не просто сам скачивает и устанавливает себе банковского трояна, а еще и дает ему все разрешения. Ведь для работы антивирусу — настоящему — действительно нужно много разрешений, в том числе и очень серьезных, таких как доступ к «Специальным возможностям» (Accessibility).
Ну и самое печальное, что обнаружить такой зловред, получается, нечему, ведь настоящий антивирус-то пользователь в результате и не установил.
Если завершить установку и выдать все запрашиваемые разрешения, троян Teabot получит возможность делать на Android-устройстве почти все что угодно. А умеет он многое: быть кейлоггером, воровать коды Google Authenticator и другими способами эксплуатировать свой доступ к «Специальным возможностям» — вплоть до получения полного удаленного контроля на Android-устройством. Еще бы, с такими-то правами.
Победа над вирусом-майнером
Итак, в прошлом посте я просил помочь с удалением вируса-майнера. Напомню, что в гугле у всех, всё решается легко, 90%процентов видосов рассказывают про легкое исцеление с помощью dr.web, остальные 10%процентов лечат касперским и его утилитами. Мне это не помогло совсем. Более того, в одном из видео автор выдвигает теорию о самообучении данного вируса - возможно, т.к. dr.web, которого я удалил после неудачных проверок, установить я больше не смог.
Хочу сказать спасибо всем кто откликнулся, отдельное спасибо хочу выразить @CWMurphy, и @opachgi . Именно ваши советы в купе и дали результат.
Теперь подробнее. Через диспетчер задач я отследил расположение вируса, в моем случае в диспетчере всплывали 3 странные задачи. При открытии диспетчера сразу выскакивал процесс "системные прерывания" , который загружал цп на 100%, через пару секунд он пропадал и начинали скакать "nt kernel and system" и " realtek hd". Находились эти файлы в скрытой папке programdata/realtekHD. НО, несмотря на то что я отображаю скрытые файлы, я не видел ни папку реалтек ни файлы в ней. Тут помог совет @opachgi, с Kaspersky rescue-disk. На чистом компьютере я смонтировал загрузочную флешку. К сожалению касперский самостоятельно вирус не определил, но данная утилита показывает ВСЕ скрытые файлы и папки, по этому я без труда удалил папку реалтек и все файлы в ней.
Затем когда я перезагрузился, диспетчер все еще показывал "системные прерывания" и антивирусы я все еще не мог ставить. Все кроме malwarebytes, который посоветовал мне @CWMurphy. При сканировании он нашел !!500!! Троянов и вирусов, в имени которых были слова mine и bitcoin!. После их удаления процессор успокоился. При этом без удаления папки realtekHD данный антивирус так же находит трояны, удаляет их и ничего не происходит. Т.е. в этой папке хранится похоже какой то корень вируса который плодит процессы и трояны(кто шарит в этом разъясните) и без ее удаления вирус размножается бесконечно. Поправьте если рассуждаю не верно.
Подведу итог. Данный вирус ооочень хитрый, рядовому пользователю не заметен и с трудом поддается удалению и самые извесные антивирусы его не видят. Надюсь мой пост будет кому то полезен, т.к. на этого майнера я потратил 2 вечера. Львиная доля времене ушла на сканирование системы доктором вебом и прочими ковыряниями в попытках установить каспера. Еще раз спасибо за советы, всем здоровья и успехов.
p.s. сорри за кашу в тексте, пишу на эмоциях.
Почему опасно устанавливать приложения из неофициальных источников
Что, собственно, не так с неофициальными источниками? То, что никто не знает, можно ли им доверять. В официальных магазинах приложений — будь то Google Play или, например, Huawei AppGallery — сотрудники контролирующих их компаний проверяют каждое приложение, которое разработчики хотят там разместить, и отсеивают откровенно зловредные. Компании большие, дорожащие своей репутацией и безопасностью своих клиентов, — у них есть и ресурсы, и мотивация заботиться о том, чтобы у пользователей не заводились зловреды.
Иногда зловреды все-таки пролезают даже в Google Play, но все же шанс встретиться с ними там намного ниже, чем на форумах, торрентах и каких-нибудь независимых сайтах. На маленьких, но гордых сторонних площадках приложения, скорее всего, не проверяет никто — в первую очередь потому, что особенно-то и некому этим заниматься. В результате эти приложения вполне могут оказаться не тем, за что себя выдают, а вообще чем угодно, в том числе и трояном.
При этом просто скачать зловреда на Android обычно недостаточно для того, чтобы заразиться. Эта операционная система устроена так, что установить и запустить опасное приложение, если оно не полагается на какие-то суперуязвимости нулевого дня для получения прав суперпользователя, довольно сложно: вас на каждом шагу будут спрашивать, правда ли вы хотите его установить, действительно ли согласны дать все нужные разрешения, и так далее. Для того чтобы убедить вас это сделать, злоумышленники прибегают к социальной инженерии — и довольно успешно.
Читайте также: