Перейти к содержимому


Фото
- - - - -

(DPH:Trojan.Inject.1.0) Объясните


  • Please log in to reply
19 ответов в этой теме

#1 Отображаемое имя

Отображаемое имя

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 28 Октябрь 2018 - 12:42

Здравствуйте!
Переустанавливал драйвер видеоадаптера и после запуска клиента Steam выскочило предупреждение о предотвращении угрозы (указана в названии темы). Антивирус переносит в карантин файл atieah32.exe из %Windows/SysWOW64, принадлежащий видеодрайверу, а также блокирует запуск Steam с указанием, что заблокировано исполнение неавторизованного кода.
Я уже сталкивался с этим на версии Drweb 11, занёс Steam и atieah32.exe в исключения тогдашней Превентивной защиты и исключения приложений. Настройки сохранились, но теперь они почему-то не срабатывают (именно после переустановки драйвера, до этого — всё работало). Попробовал заново добавить — 0 реакции.
Объясните, пожалуйста, что этот atieah32.exe со Steam'ом там вдвоём чудят, и как заставить Drweb перестать это замечать (я уверен, что там нет ничего вредоносного).
Отчёт прилагаю. Последнее время детекта событий — 20:16:28 и 20:16:32.

Прикрепленные файлы:


Сообщение было изменено Отображаемое имя: 28 Октябрь 2018 - 12:43


#2 Отображаемое имя

Отображаемое имя

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 28 Октябрь 2018 - 13:35

Пока что в Поведенческом анализе поставил «Разрешать» atieah32.exe вторгаться в целостность запущенных приложений. Раньше было достаточно это сделать у exe-шника Steam'а.


Сообщение было изменено Отображаемое имя: 28 Октябрь 2018 - 13:35


#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 064 Сообщений:

Отправлено 28 Октябрь 2018 - 15:53

можно получить этот Windows\SysWOW64\atieah32.exe в личку? нечто не подписанное, вручную стартует стим процесс и инжектит в него код, хм, сомнительно для амд, хотя я уже ничему не удивлюсь.

Сообщение было изменено Konstantin Yudin: 28 Октябрь 2018 - 15:54

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Отображаемое имя

Отображаемое имя

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 28 Октябрь 2018 - 16:20

Насчёт неподписанного. Сам драйвер является переработкой оригинального драйвера AMD от известного в узких кругах ресурса Leshcatlabs. Эта команда использует для установки драйвера самоподписанный сертификат (вроде правильно назвал). И, к слову, тот оригинальный драйвер, который они переделали, не является WHQL , т.к. носит статус беты. В общем, если я правильно понял, там может и не быть нужных цифровых подписей.

P.S.: да, вспомнил, у оригинального драйвера (который от AMD и бета) этот atieah32.exe тоже присутствовал и тоже со Steam'ом сцеплялся. Так что я уверен на 100%, что файл относится к AMD и не является вредоносное программное обеспечениеным.


Сообщение было изменено Отображаемое имя: 28 Октябрь 2018 - 16:25


#5 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 726 Сообщений:

Отправлено 28 Октябрь 2018 - 16:25

Тогда это нормально. Делающий такое в своей системе должен понимать риски и уметь вносить исключения защитного ПО, если доверяет этой кустарной сборке.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 Отображаемое имя

Отображаемое имя

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 28 Октябрь 2018 - 17:18

Как я пояснил, даже в официальных бета драйверах эта проблема есть. Неужто они тоже могут считаться «кустарной сборкой»? Впрочем, это вопрос риторический скорее. Жду, что поведает Konstantin Yudin об этом atieah32.exe.



#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 064 Сообщений:

Отправлено 29 Октябрь 2018 - 12:02

эта какая то наколеночная поделка а не софт от амд, ни каких опознавательных знаков что это часть легального софта не видно. весь смысл тулзы, пропатчить процесс. доверие к таким файлам устанавливает сам пользователь, доверяет, создает правило в превентивной защите.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 VVS

VVS

    The Master

  • Moderators
  • 17 433 Сообщений:

Отправлено 29 Октябрь 2018 - 12:15

эта какая то наколеночная поделка а не софт от амд, ни каких опознавательных знаков что это часть легального софта не видно. весь смысл тулзы, пропатчить процесс. доверие к таким файлам устанавливает сам пользователь, доверяет, создает правило в превентивной защите.

Тот, который от AMD, вполне себе подписанный, только что проверил...


Сообщение было изменено VVS: 29 Октябрь 2018 - 12:23

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#9 Отображаемое имя

Отображаемое имя

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 29 Октябрь 2018 - 12:32

Вот и я говорю, что файл имеется и у официального драйвера. Хотелось бы понять, что он к Steam'у только пристаёт, больше никого вроде не трогает. Ладно, бог с ним, пускай живёт  :D



#10 VVS

VVS

    The Master

  • Moderators
  • 17 433 Сообщений:

Отправлено 29 Октябрь 2018 - 12:38

Вот и я говорю, что файл имеется и у официального драйвера.

Давайте будем точны в формулировках - файл с таким именем имеется у официального драйвера. :D


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#11 Отображаемое имя

Отображаемое имя

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 29 Октябрь 2018 - 12:42

Я повторюсь (указывал выше): в бете родного драйвера от AMD также присутствует этот файл и точно так же на него реагирует Drweb. На файл из официального бета-драйвера, не имеющего статуса WHQL.


Сообщение было изменено Отображаемое имя: 29 Октябрь 2018 - 12:44


#12 Отображаемое имя

Отображаемое имя

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 29 Октябрь 2018 - 13:58

Специально установил официальный драйвер и сравнил файл оттуда с atieah32.exe из сборки от Leshcatlabs — они идентичны даже по хешу. Так что это полностью поделие AMD. Бета такая бета  :D



#13 BloodDeN

BloodDeN

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 24 Август 2019 - 17:14

И что делать, чтобы сам DWSS не уничтожал этот файл? Занести в исключение SpIDer Guard или в поведенческий анализ? А то я думаю, что это штормить начинает систему, когда я включаю мониторинг производительности....



#14 VVS

VVS

    The Master

  • Moderators
  • 17 433 Сообщений:

Отправлено 24 Август 2019 - 19:35

https://forum.drweb.com/index.php?showtopic=330716#entry858943


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#15 Ametist

Ametist

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 16 Сентябрь 2019 - 00:52

На дворе сентябрь 2019 года, а воз и по ныне там:

Прикрепленный файл  Clip2net_190916004727.png   24,57К   1 Скачано раз

 

В общем всё как у ТС в первом сообщении, только драйвер от АМД оригинальный и так же был заблокирован Стим.

 

P.S. Др.Вэб Секьюрити Спейс 12.0



#16 SergSG

SergSG

    The Master

  • Posters
  • 12 293 Сообщений:

Отправлено 16 Сентябрь 2019 - 18:38

На дворе сентябрь 2019 года, а воз и по ныне там:

А что должно было измениться?

Файл без опознавательных знаков лезет в чужой процесс - типичное поведение трояна. Доверяете этому файлу, вносите в исключения превенитвки. Это уже было сказано.

Ну или напишите в АМД, чтоб они этот файл подписали.



#17 aweiter

aweiter

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 25 Сентябрь 2019 - 21:44

Добрый день.

 

После обновления драйвера на AMD Radeon Adrenalin 2019 Edition 19.9.2-Sep23 возникла та же проблема.

При проверке самим антивирусом ничего не обнаруживает.

Должен заметить, что файл подписан.

Прикрепленные файлы:

  • Прикрепленный файл  atieah32.7z   335,81К   2 Скачано раз

Сообщение было изменено aweiter: 25 Сентябрь 2019 - 21:44

Игрок не знает, зачем он идет туда...


#18 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 726 Сообщений:

Отправлено 25 Сентябрь 2019 - 22:53

Добрый день.
 
После обновления драйвера на AMD Radeon Adrenalin 2019 Edition 19.9.2-Sep23 возникла та же проблема.
При проверке самим антивирусом ничего не обнаруживает.
Должен заметить, что файл подписан.

 

Ну вот, другой подход, подписали таки. Свежак :)

Name: Advanced Micro Devices, Inc.
Status: Valid
Valid From: 12:00 AM 07/10/2019
Valid To: 12:00 PM 07/14/2022
Valid Usage: Code Signing
Algorithm: sha1RSA
Thumbprint: 8285BF04CE593E26A12AE1A00F75FF7EDF7CB084

Сегодня уже добавили этот сертификат в белые, уже в бете. На днях выйдет в релиз и проблема должна уйти.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#19 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 726 Сообщений:

Отправлено 26 Сентябрь 2019 - 15:03

В релизе. После обновления с подписанным atieah32.exe срабатывания быть не должно.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#20 aweiter

aweiter

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 26 Сентябрь 2019 - 18:13

В релизе. После обновления с подписанным atieah32.exe срабатывания быть не должно.

Проблема решилась, спасибо.


Игрок не знает, зачем он идет туда...



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых