Вот что заинтересовало, чистый пример:

Есть красивая Windows. Но установил ее пользователь, который ее не купил (читай: пиратская система). Решил ее "валидировать" крякой. Кряка - не вирус 100%. Но это не тешит дяду Билла с дядей Стивом. Дядя Билл звонит в Россию в свое представительство - и говорит: позвоните эсету, касперу и  [beep] чтобы ту кряку как вирус в базы добавили, а то мы деньги теряем... нехорошо так, неприятно.

Аналогично, скажем, о Trial Reset для касперского...

-----

Так вот... бывают ли случаи "помощи" другим вендорам в борьбе с пиратством?  

Название: Remove Fake Antivirus
Актуальная версия: 1.67
Распространение: Freeware (бесплатно)
Сайт программы: freeofvirus.blogspot.com
Скачать актуальную версию: Softpedia | rghost | sendfile | multiupload

Основное назначение программы: удаление лже-антивирусов. Если утилита не запускается - переименуйте ее в 11111.ехе и повторите попытку запуска. На сайте расписано удаление вручную каждого лже-антивируса отдельно, а также есть актуальная ссылка на софтпедии для программы Remove Fake Antivirus.

Утилита Remove Fake Anitivirus 1.67 может удалить следующие лже-антивирусы (в общей сумме - 63 "продукты"):

[*]Security Tool
[*]Antivirus 7
[*]Antivirus GT
[*]Defense Center
[*]Protection Center
[*]Sysinternals Antivirus
[*]Security Master AV
[*]CleanUp Antivirus
[*]Security Toolbar
[*]Digital Protection
[*]XP Smart Security 2010
[*]Antivirus Suite
[*]Vista Security Tool 2010
[*]Total XP Security
[*]Security Central
[*]Security Antivirus
[*]Total PC Defender 2010
[*]Vista Antivirus Pro 2010
[*]Your PC Protector
[*]Vista Internet Security 2010
[*]XP Guardian
[*]Vista Guardian 2010
[*]Antivirus Soft
[*]XP Internet Security 2010
[*]Antivir 2010
[*]Live PC Care
[*]Malware Defense
[*]Internet Security 2010
[*]Desktop Defender 2010
[*]Antivirus Live
[*]Personal Security
[*]Cyber Security
[*]Alpha Antivirus
[*]Windows Enterprise Suite
[*]Security Center
[*]Control Center
[*]Braviax
[*]Windows Police Pro
[*]Antivirus Pro 2010
[*]PC Antispyware 2010
[*]FraudTool.MalwareProtector.d
[*]Winshield2009.com
[*]Green AV
[*]Windows Protection Suite
[*]Total Security 2009
[*]Windows System Suite
[*]Antivirus BEST
[*]System Security
[*]Personal Antivirus
[*]System Security 2009
[*]Malware Doctor
[*]Antivirus System Pro
[*]WinPC Defender
[*]Anti-Virus-1
[*]Spyware Guard 2008
[*]System Guard 2009
[*]Antivirus 2009
[*]Antivirus 2010
[*]Antivirus Pro 2009
[*]Antivirus 360
[*]MS Antispyware 2009
[*]IGuardPC or I Guard PC
[*]Additional Guard

Компания «ххх» (неважно какая, не в этом суть) обращает внимание интернет-пользователей на резкий рост распространения новых модификаций уже известных троянцев семейства Trojan.Winlock, блокирующих Windows и требующих отправить злоумышленникам платное SMS-сообщение для получения кода разблокировки. Новая волна Trojan.Winlock началась 18 мая – в этот день число детектов троянца сервером статистики выросло в 110 раз по сравнению со среднесуточными показателями месячной давности.

А ну-ка, товарищи разработчики, какие у вас новости на эту тему? Ибо если появилась волна модификаций - значит надо надеятся, что они у вас в базах будут очень быстро...

http://iguardlab.com/ -- сайт, который предлагает за 3 смс установить "антивирусный" продукт. Понятное дело что все это фейк полнейший.



-----------------------------------------------------------------------------------------------------------

Реально ли добавить в нод блокирование открытия этих сайтов? Имеется в виду не вручную в параметрах "Управления адресами", а автоматически с предупредительной табличкой, как на примере http://allnod.com

Известные клоны - http://vashkomp.yourfreehosting.net/page-751638.html + http://antivirus24.ru + http://1antivirus.ru + http://protectpcnew.com/?user_id=1283
Реферралы - http://secureinet2010.ru + http://netsecure-2010.ru + http://xp-guard.ru + http://antishpions.msk.ru

Найден способ обмана любых антивирусов
09 мая 2010 года, 20:25 | Текст: Юрий Стрельченко

По словам исследователей Якуба Бржечки (Jakub Břečka) и Давида Матоушека (David Matoušek) из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус.

Название продукта: HoverIP
Актуальная версия: 1.0 Beta
Официальный сайт: http://www.hoverdesk.net/freeware.htm
Распространение: Freeware (бесплатно)
Поддерживаемые системы: Windows 7, Vista, XP
Интерфейс: английский

Размер файла: ~~ 610 кб
Скачать: http://www.hoverdesk.net/dl/en/HoverIP.zip

-------------------------------------------------------------------------

HoverIP - это мощный набор IP утилит. Отображает текущие сетевые настройки локальной сети, содержит встроенные функции Nslookup, Traceroute, Ping и сканирования портов. В дополнение программа может помочь в настройке таблицы маршрутов (ROUTING TABLE).

-------------------------------------------------------------------------

Скриншоты:

       

Название программы: GMER
Актуальная версия: 1.0.15.15281
Сайт программы: http://www.gmer.net/
Скачать актуальную версию: http://www2.gmer.net/gmer.zip
FAQ: http://www.gmer.net/#faq


GMER - небольшая бесплатная утилита, которая предназначена для работу с руткитами: отображает скрытые процессы и сервисы, выводит список скрытых файлов, ключей Реестра и драйверов. Кроме того, GMER осуществляет мониторинг создания процессов, загрузки драйверов и библиотек, использования файлов, изменений реестра, активность TCP/IP-соединений.

Название: Trend Micro HiJackThis.
Актуальная версия: 2.0.4
Сайт программы: http://free.antivirus.com/hijackthis/
Скачать актуальную версию: HiJackThis 2.0.4

Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта).

Полезные ссылки:
Краткое руководство

Анализ лог-файлов программы онлайн.
HijackThis Logfile Analyzer
HijackThis Log Auto Analyzer V2
Help2Go Detective
Prevx HijackThis Log Analyzer
Spy And Seek HijackThis Log Analyzer
ExeLibrary HijackThis Log Analyzer

Если вы не уверены - перед удалением записей спросите у профессионалов у нас на форуме!

-----------------------------------------------------------------

Оффсайт: http://beeblebrox.org/hashtab/
Распространение: бесплатная (freeware)
Актуальная версия: 3.0
Ссылка на прямую загрузку программы: http://beeblebrox.org/hashtab/HashTab%20Setup.exe (780 Кб)

-----------------------------------------------------------------

Немного информации:

MD5 (Message Digest 5) — 128-битный алгоритм хеширования, разработанный профессором Рональдом Л. Ривестом в 1991 году. Предназначен для создания «отпечатков» или «дайджестов» сообщений произвольной длины. Хеширование (иногда хэширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины таким образом, чтобы изменение входных данных приводило к непредсказуемому изменению выходных данных. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения (англ. message digest).

Проще говоря, с помощью этой функции вы сможете проверить правильно ли был скачан конкретный файл (обычно проверяются образы дисков - iso, nrg, mdf, udf и т. д.).

-----------------------------------------------------------------

Работа с программой:

Итак, как же она работает? Все очень просто - после установки программы она добавляет в меню "Свойства" файла вкладку "Контрольные суммы". Выбрав данную вкладку программа автоматически начнет измерять контрольную сумму за следующими алгоритмами:
  *CRC32
  *MD5
  *SHA-1

Пусть мы хотим узнать контрольную сумму файла 1.txt. Для этого жмем правую кнопку мыши на этот файл, и выбираем "Свойства" (последнее меню в списке). А там уже выбираем вкладку контрольные суммы. Программа автоматически запустит проверку.




Кликнув на одну из сумм мы можем:
1) Скопировать все суммы
2) Скопировать конкретную сумму по конкретному алгоритму
3) Зайти в Настройки.

В настройках мы можем указать по каких именно алгоритмах мы желаем "узнавать" контрольную сумму:



У нас есть возможность узнавать контрольную сумму по следующих алгоритмах (хотя "главные" - это MD5 и SHA-1):
 CRC32
 HAVAL
 MD2
 MD4
 MD5
 RIPEMD-128
 RIPEMD-256
 RIPEMD-320
 SHA-1
 SHA-512
 Tiger
 Whirlpool


Чтобы проверить контрольную сумму, узнать совпадает ли она с той, что указал релизер в своей раздаче. Достаточно перетянуть файл в специальную панельку или же использовать функцию "Сравнить файл..." и поиском найти требуемый файл. Если сумма совпадает - будет зеленая галочка.

Файл HOSTS

Файл HOSTS используется в Windows для преобразования символьных имен доменов (google.com) в соответствующие им IP-адреса (64.233.167.99) и наоборот (точно такие же задачи в сетях TCP/IP выполняет и DNS - Domain Name System - система доменных имен). То есть каждый раз, когда вы вводите в адресную строку браузера название сайта, ваш компьютер, прежде чем с ним соединится, должен преобразовать это "буквенное" название в соответствующие ему числа. Файл HOSTS не имеет видимого расширения, но по сути его можно редактировать в любом текстовом редакторе (например, Notepad или Блокнот), как обычный файл текстового формата.

Его местоположение может отличаться в зависимости от вашей операционной системы, но по умолчанию файл HOSTS находится:

Windows 95/98/ME: WINDOWS\hosts
Windows NT/2000: WINNT\system32\drivers\etc\hosts
Windows XP/2003/Vista/7: WINDOWS\system32\drivers\etc\hosts

Стандартный файл HOSTS Windows выглядит следующим образом:



Файл HOSTS часто становится жертвой различного рода вредоносного ПО, которое вносит в него изменения. Цель изменения HOSTS вредоносным ПО может быть:
-перенаправление пользователя на свои веб-сайты, вместо тех, которые вводятся им в строку браузера
-блокирование доступа на конкретный сайт
-блокирование доступа антивирусам для обновлений своих антивирусных баз