Перейти к содержимому


Фото
- - - - -

Dr.web прибил putty


  • Please log in to reply
14 ответов в этой теме

#1 kupitman

kupitman

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 08 Май 2019 - 10:51

Сегодня утром dr.web прибил putty.exe. До этого они вместе жили вполне себе мирно. Даже при полной проверке ПК dr.web на это ПО не обращал внимания.

Форум не позволяет мне загрузить экспортированный файл в формате .csv :(((

Прикрепленные файлы:



#2 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 902 Сообщений:

Отправлено 08 Май 2019 - 11:21

Извлеките из карантина этот файл и отправьте в вирлаб (vms.drweb.com/sendvirus/) в категорию ложное срабатывание.



#3 kupitman

kupitman

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 08 Май 2019 - 14:43

Извлеките из карантина этот файл и отправьте в вирлаб (vms.drweb.com/sendvirus/) в категорию ложное срабатывание.

от вас пришёл ответ, что это не ложное срабатывание. тогда вопрос, что случилось с putty? так как скачивание с сайта приводит к блокировке, а доктор веб находит бэкдор.

При этом еще вчера с ними всё было нормально.


Сообщение было изменено kupitman: 08 Май 2019 - 14:44


#4 kupitman

kupitman

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 08 Май 2019 - 14:48

На вирустотале на свежие файлы putty ругается только dr.web



#5 VVS

VVS

    The Master

  • Moderators
  • 17 376 Сообщений:

Отправлено 08 Май 2019 - 14:50

Извлеките из карантина этот файл и отправьте в вирлаб (vms.drweb.com/sendvirus/) в категорию ложное срабатывание.

от вас пришёл ответ, что это не ложное срабатывание. тогда вопрос, что случилось с putty? так как скачивание с сайта приводит к блокировке, а доктор веб находит бэкдор.

Там, судя по Вашей картинке, не бэкдор, а реклама.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#6 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 253 Сообщений:

Отправлено 08 Май 2019 - 15:03

Фолса была на версию 0.71 4156606E2E003B2A3B3A4998B26C218AF8EF30731EE4F5390419BC5B3B0E8ACF. И детект там BackDoor.Meterpreter.56. Пока что ложняк из баз не убрали. Временно пользуюсь 0.70.
Версия Сервера Dr.Web 12.00.0 (17-08-2019 05:00:00)
Linux 4.14.119-200.el7.x86_64 x86_64; ; glibc 2.17

#7 kupitman

kupitman

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 08 Май 2019 - 15:04

 

 

Извлеките из карантина этот файл и отправьте в вирлаб (vms.drweb.com/sendvirus/) в категорию ложное срабатывание.

от вас пришёл ответ, что это не ложное срабатывание. тогда вопрос, что случилось с putty? так как скачивание с сайта приводит к блокировке, а доктор веб находит бэкдор.

 

Там, судя по Вашей картинке, не бэкдор, а реклама.

 

В картинке реакция на свежий файл, который скачал у них

Прикрепленные файлы:



#8 kupitman

kupitman

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 08 Май 2019 - 15:10

О, перестал ругаться.



#9 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 902 Сообщений:

Отправлено 08 Май 2019 - 15:14

>от вас пришёл ответ, что это не ложное срабатывание.

 

Номер тикета укажите.



#10 kupitman

kupitman

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 08 Май 2019 - 15:16

[drweb.com #8671673]



#11 VVS

VVS

    The Master

  • Moderators
  • 17 376 Сообщений:

Отправлено 08 Май 2019 - 15:19

Только что скачал https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe
Всё чисто.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#12 ast

ast

    Newbie

  • Virus Analysts
  • 82 Сообщений:

Отправлено 08 Май 2019 - 15:30

[drweb.com #8671673]

Детект по делу. Файл в тикете это не putty, а бандл который может его поставить. В связи с этим очень странно выглядит путь где он был обнаружен



#13 kupitman

kupitman

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 08 Май 2019 - 15:42

 

[drweb.com #8671673]

Детект по делу. Файл в тикете это не putty, а бандл который может его поставить. В связи с этим очень странно выглядит путь где он был обнаружен

 

Я говорю о новой скаченной версии, когда доктор стал ругаться на бэкдор, что подтвердил еще один пользователь, указанный выше


Сообщение было изменено kupitman: 08 Май 2019 - 15:47


#14 SergSG

SergSG

    The Master

  • Posters
  • 12 074 Сообщений:

Отправлено 08 Май 2019 - 18:04

 

 

[drweb.com #8671673]

Детект по делу. Файл в тикете это не putty, а бандл который может его поставить. В связи с этим очень странно выглядит путь где он был обнаружен

 

Я говорю о новой скаченной версии, когда доктор стал ругаться на бэкдор, что подтвердил еще один пользователь, указанный выше

 

А в вирлаб Вы что отправили?



#15 basid

basid

    Guru

  • Posters
  • 4 078 Сообщений:

Отправлено 08 Май 2019 - 18:44

Лично я отправил в вирлаб ссылку на файл со страницы загрузки putty (детектировался только 64-разрядный exe-шник).

Через некоторое время пришло сообщение, что ложное срабатывание убрано, я выждал ритуальную паузу и перепроверил - всё чисто.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых