Перейти к содержимому


Фото
- - - - -

vxCube


  • Please log in to reply
11 ответов в этой теме

#1 CryptoBrowser

CryptoBrowser

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2020 - 19:43

Наша ехе детектится Dr.Web vxCube, где можно оформить заявку на False Positive. Не найти информации по этому вопросу.
 
Сам файл можно найти тут:
 
 


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 085 Сообщений:

Отправлено 21 Январь 2020 - 19:43

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 21 Январь 2020 - 20:27

Смотрим.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 CryptoBrowser

CryptoBrowser

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Январь 2020 - 09:14

Есть новости? От меня нужна какая нибудь инфа?



#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Январь 2020 - 12:50

По vxcube обращайтесь в тех. поддержку.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 CryptoBrowser

CryptoBrowser

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Январь 2020 - 13:03

Вчера ответили, что смотрите.
 
Сегодня говорите что в тех.поддерзку, если не сложно, дайте ссылку, или емайл или телефон, куда конкретно мне обратится. Заранее спасибо.


#7 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Январь 2020 - 13:15

Файл получает много баллов суммарно за действия, которые совершаются полностью автоматически без участия пользователя, когда запускаешь файл. Регистрируются сервисы, ставятся на автостарт, создаются таски, сам бинарь тоже прописывается в автостарт. Все это подозрительно и характерно для малвари/адвари. Нажал на файл и получил без вопросов в систему ПО. Это не серьезно для инсталятора нормального софта, первый звоночек что бинарь могут таскать например в бандле другие программы, таких связок было уже куча и это проходили, всякие майл ру агенты, яндекс браузер, и т.п.

 

Правильным подходом в данном случае было бы запилить нормальный дефолт для инсталятора, хотя бы с кнопками "далее", еще лучше с возможными галочками и пояснениями. Ну и если нужно, какой-нибудь ключ /silence, тогда по ушам получит кто-то если также будет ставить без телодвижений от юзера.

 

Есть идея как подкрутить анализ в данном случае, но это требует ресерча, не быстро, и не факт что получится, так что совет про инсталятор в силе.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Январь 2020 - 13:19

И да, мы в курсе что инсталятор Google Chrome делает точно также, он точно также получает баллов в сервисе. Для него даже специально делали хаки чтобы не влепить сигнатуру автоматической системой анализа.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#9 CryptoBrowser

CryptoBrowser

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Январь 2020 - 13:34

Инсталлятор представляет из себя Гугловую омаху https://github.com/google/omaha, почему же инсталлятор хрома никто не называет малварью, хотя он представлет из себя тоже самое.
 
Omaha is the open-source version of Google Update, a program to install requested software and keep it up to date. 
 
Инсталлятор ведет себя так же как и https://www.google.com/chrome/
 
Нашего кода никакого там нет.


#10 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Январь 2020 - 13:36

CryptoBrowser, ответил выше.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 CryptoBrowser

CryptoBrowser

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Январь 2020 - 13:37

Так добавьте нас в эти же хаки :)



#12 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Январь 2020 - 14:09

Так добавьте нас в эти же хаки :)

Хаки не для vxCube, а для сигнатур. Мы на ваш браузер и не лепим сигнатуру, речь только за анализатор поведения (технологии которого применяются также и при автоматическом анализе поведения и создании сигнатуры, если провинился). Прямо сейчас проверил, на инсталятор хрома мы также выносим такой же вердикт. Если бы VT нам его прислал на анализ в vxCube, получил бы такой же вердикт в таблице.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых