Наткнулся в интернете на один инсталляционный пакет. Антивирус (не Drweb) сразу ругался на исполняемый файл установщика, но я решил потестировать и его отключил. После установки (игры) запустил антивирус, и сразу же он обнаружил кучу малвари, включая трояны, стилеры и изменённый хост. В процессе лечения были выявлены файлы малвари в папках антивируса. Но раз установленный антивирус был определённый, то, возможно, и при другом антивирусе файлы пропишутся и в его директорию? Есть ли смысл проверить для выявления угроз?
Вредоносное ПО предположительно по-разному ведёт себя в зависимости от антивируса.
#1
Отправлено 12 Декабрь 2020 - 09:39
#2
Отправлено 12 Декабрь 2020 - 20:48
В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб. А кстати, есть ли смысл отправлять dll- файлы?
Сообщение было изменено Smart_D15: 12 Декабрь 2020 - 20:49
#3
Отправлено 12 Декабрь 2020 - 20:53
В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб.
Сперва подпись посмотрите.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#4
Отправлено 12 Декабрь 2020 - 21:16
подпись посмотрите.
Поймали за ногу. А для чего он? Онлайн-установщика у вас вроде не водится...
#5
Отправлено 12 Декабрь 2020 - 21:26
В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб. А кстати, есть ли смысл отправлять dll- файлы?
чтобы не быть голословным, вы просто покажите проверку с VT (или хеши)
#6
Отправлено 12 Декабрь 2020 - 22:51
покажите проверку с VT
Думаете, если какой-то файл отображается чистым на всех вендорах (не этот конкретно, у него подпись), то этому можно доверять (если файл новый)?
#7
Отправлено 12 Декабрь 2020 - 23:05
В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб. А кстати, есть ли смысл отправлять dll- файлы?Yt
Не нужно его отправлять, этот файл и у меня лежит там же (у меня релиз).
Наткнулся в интернете на один инсталляционный пакет. Антивирус (не Drweb) сразу ругался на исполняемый файл установщика
вот лучше линканите проверку на VT этого пакета (если он конечно по размеру в лимиты влезет).
Прикрепленные файлы:
#8
Отправлено 13 Декабрь 2020 - 01:06
и у меня лежит там же
А что он делает?
в лимиты влезет
32Гб.
#9
Отправлено 13 Декабрь 2020 - 02:00
Ага, посмотрел ещё раз на скрипт: судя по всему, он тупо вычищает (копирует) системные файлы, куда по какой-то причине попадают файлы установленного антивируса. Тогда первое предположение неверно.
#10
Отправлено 14 Декабрь 2020 - 11:48
Ага, посмотрел ещё раз на скрипт: судя по всему, он тупо вычищает (копирует) системные файлы, куда по какой-то причине попадают файлы установленного антивируса. Тогда первое предположение неверно.
Вот это поворот
Doctor Web, Ltd.
#11
Отправлено 14 Декабрь 2020 - 13:02
>После установки (игры) запустил антивирус, и сразу же он обнаружил кучу малвари, включая трояны, стилеры и изменённый хост.
>и при другом антивирусе файлы пропишутся и в его директорию? Есть ли смысл проверить для выявления угроз?
Он всегда делает одно и тоже, ему все-равно какой АВ установлен. И да, трой нам давно известен и не представляет интереса.
А вот откуда вы взяли зараженный файл было бы интересно узнать.
#12
Отправлено 14 Декабрь 2020 - 18:46
было бы интересно узнать.
Как сообщить, куда? Есть определённая страница с игрой, там надо скачать торрент-файл, от него всё уже идёт.
#13
Отправлено 14 Декабрь 2020 - 18:50
трой нам давно известен и не представляет интереса.
Однако от меня приняли #9522974 и добавили в базы. Значит, что-то новое было?
#15
Отправлено 15 Декабрь 2020 - 11:30
>Однако от меня приняли #9522974 и добавили в базы. Значит, что-то новое было?
В указанном тикете 90% - модули касперского, из оставшегося реально интересный файлик один и он действительно ранее невиданный. Остальное неинтересная побочка.
Но все равно спасибо.
#16
Отправлено 22 Декабрь 2020 - 16:53
реально интересный файлик один и он действительно ранее невиданный.
А можно узнать, какой?
#17
Отправлено 31 Декабрь 2020 - 11:06
Думаете, если какой-то файл отображается чистым на всех вендорах (не этот конкретно, у него подпись), то этому можно доверять (если файл новый)?
bitcomet после скачивания проверяю Др.ВЕБ и через virustotal, если чисто, то устанавливаю. Установка прошла, спайдер молчит. Запускаю и bitcomet орет, что нет у меня BitComet_x64.exe и просит установить и одновременно с появляется сообщение о трояне. Или троян у биткомет собирается или подкачивают в процессе установки. При таких скоростях загрузки, скачать 20м заметно не будет.
Бывают, не один раз такое видел, обнаружения известного трояна спустя довольно длительное время использования.
Сообщение было изменено ЛСергей: 31 Декабрь 2020 - 11:06
#18
Отправлено 25 Март 2021 - 19:42
Обнаружил ещё один инсталляционный пакет игры, который кроме игры, что в названии, ставит в довесок "World of Tanks" и что-то ещё. У конкурентов "Internet Security" прибил инсталлятор, который был в процессе, а также удалил установленные вдобавок игры (или ярлыки, точно не посмотрел), а у Веба -- нет. Реально ли добиться, чтобы Веб на них реагировал? Сразу скажу, что объём пакета ~2,3 Гб.
#19
Отправлено 25 Март 2021 - 20:24
Че-то я сомневаюсь, что АВ удалил игры. Скорее тогда уж ярлыки, которые были палеными.
Ссылку на установщик в личку скиньте.
#20
Отправлено 25 Март 2021 - 21:49
тогда уж ярлыки, которые были палеными.
Да, похоже на то, т. к. он ссылается на "експлорер".
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых