Перейти к содержимому


Фото
- - - - -

Куда сообщать о ложном срабатывании CureIt!?

cureit! false positive

  • Please log in to reply
12 ответов в этой теме

#1 Eugene Muzychenko

Eugene Muzychenko

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 27 Ноябрь 2018 - 22:13

Каким образом нынче принято сообщать о ложном срабатывании CureIt!? На сайте предлагается сообщать только о ложном срабатывании родительского контроля.



#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 298 Сообщений:

Отправлено 27 Ноябрь 2018 - 22:28

Eugene Muzychenkohttps://vms.drweb.ru/sendvirus/



#3 SergSG

SergSG

    The Master

  • Posters
  • 12 285 Сообщений:

Отправлено 27 Ноябрь 2018 - 22:36

Можно еще на вирустотал проверить действительно ли оно ложное.



#4 Eugene Muzychenko

Eugene Muzychenko

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:17

Eugene Muzychenkohttps://vms.drweb.ru/sendvirus/

Спасибо. Только вот проблема - что слать в качестве примера? У меня CureIt! воспроизводимо срабатывает (BackDoor.Dande.13) только на процесс vmware-vmx (VMM от VMware Workstation Pro 12.5.8) в памяти, когда там работает гостевая Win 10 1803. На сам EXE-файл - не срабатывает



#5 Eugene Muzychenko

Eugene Muzychenko

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:17

Eugene Muzychenkohttps://vms.drweb.ru/sendvirus/

Спасибо. Только вот проблема - что слать в качестве примера? У меня CureIt! воспроизводимо срабатывает (BackDoor.Dande.13) только на процесс vmware-vmx (VMM от VMware Workstation Pro 12.5.8) в памяти, когда там работает гостевая Win 10 1803. Сообщает, что угроза нейтрализована, при последующих запусках - снова "нейтрализует", и так далее.

 

На сам EXE-файл - не срабатывает, и в гостевой системе тоже не жалуется. Дамп процесса получится больше полутора гигабайт - имеет ли смысл его загружать?


Сообщение было изменено Eugene Muzychenko: 28 Ноябрь 2018 - 00:19


#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:18

поставить на паузу vm и сделать полный дамп этого процесса после срабатывания
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:19

ну и не факт что это фолс, мало чего у вас творится в самой виртуалке
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 Eugene Muzychenko

Eugene Muzychenko

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:21

поставить на паузу vm и сделать полный дамп этого процесса после срабатывания

Загружать полтора гигабайта? Или залить на какой-нибудь хостинг и дать ссылку?



#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:24

укажите в запросе ссылку на сторонний хостинг. не забудьте сжать, дампы хорошо жмутся.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 Eugene Muzychenko

Eugene Muzychenko

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:26

ну и не факт что это фолс, мало чего у вас творится в самой виртуалке

Это у меня палец мимо клавиши промахнулся, а браузер услужливо отправил пост аж в двух экземплярах. :) Потом дописал, что в виртуалке та же версия CureIt! ничего не видит.



#11 Eugene Muzychenko

Eugene Muzychenko

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 28 Ноябрь 2018 - 00:33

поставить на паузу vm и сделать полный дамп этого процесса после срабатывания

Если поставить на паузу средствами VMware Workstation - она сохраняет образ в своем формате (vmem/vmss) и завершает процесс VMM. Эти два файла сгодятся? Если нужен именно дамп процесса в формате MS - могу остановить его через Suspend в Process Explorer, и им же изготовить дамп. Как лучше сделать?



#12 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 053 Сообщений:

Отправлено 28 Ноябрь 2018 - 10:47

Нужен именно дамп процесса. Пауза в виртуалке нужна чтоб не шибко менялось состояние после детекта.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#13 Eugene Muzychenko

Eugene Muzychenko

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 30 Ноябрь 2018 - 13:43

Задачу закончить не удалось - после повторной перезагрузки VM, CureIt! перестала на нее жаловаться. Но после первой перезагрузки продолжала. Возможно, как-то влияет последовательность действий внутри VM. Если еще раз замечу - буду делать дамп.


Сообщение было изменено Eugene Muzychenko: 30 Ноябрь 2018 - 13:44




Also tagged with one or more of these keywords: cureit!, false positive

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых