18 ответов в этой теме

[ЛСергей]

После сегодняшнего обновления Др.ВЕБ, в 2х файлах  бабилон оказался DPH:Trojan.Inject.3.64

До этого у них года 4 назад только malware в инсталяторе был

[Konstantin Yudin]

отчет соберите для тех. поддержки. сегодняшний апдейт ничего не мог изменить

[ЛСергей]

отчет соберите для тех. поддержки. сегодняшний апдейт ничего не мог изменить

Могу инталлятор выслать весь, правда, архив 67м.

Интересно, что сегодня вдруг бабилон перестал работать, при инсталляции сообщения о вирусе не было.

Первый раз такое видел, потребовали для продолжения убить windows explorer.

[Konstantin Yudin]

сетап не нужен. нет ни каких гарантий что он сработает так же. это зависит от окружения. сначала нужен отчет

[ЛСергей]

Konstantin Yudin, для отчета мне нужно вытащить из карантина эти файлы и тогда создать отчёт?

[Konstantin Yudin]

никак не связанные действия. просто соберите отчет и выложите его для загрузки

[ЛСергей]

Сделал отчет, выложил на yadi.sk, линк в ЛС выслал

[Konstantin Yudin]

сертификат которым подписан этот софт замечен в мутных делах с адварщиками, я не могу его обелить без детального анализа. так что детект там ожидаем, он пытается внедрить код в системный процесс.

[ЛСергей]

Konstantin Yudin, спасибо!

[ЛСергей]

Konstantin Yudin, в саппорте бабилон ответили, что эти файлы чистые и приложили лог от virustotal.com

Я проверил весь архив и оказалось, что теперь вируса нет

https://www.virustotal.com/#/file/6c6ca39d46539bbfb96a0bc40f8b7830aeed8f6a522eb9e2d8d79464e5332d24/detection

а 27 августа вирус был

Сейчас я проверил файлы в карантине и в них вируса уже нет, вернул из карантина назад в папку.

Прикрепленные файлы:

•  2018-08-30_150233.jpg   55,43К   0 Скачано раз
•  2018-08-30_150304.jpg   60,62К   0 Скачано раз

[ЛСергей]

Сейчас проверил онлайн сканером

Прикрепленные файлы:

•  2018-08-30_151538.jpg   220,89К   0 Скачано раз
•  2018-08-30_151619.jpg   212,03К   0 Скачано раз

[Ivan Korolev]

То, что детекта нет статически, не означает, что его не будет при выполнении кода.

[ЛСергей]

То, что детекта нет статически, не означает, что его не будет при выполнении кода.

Нет, ну я бы не беспокоил просто так. Я проверил при выполнении в той же самой ситуации(shift+клик правой кнопкой мыши по слову), теперь Др.ВЕБ молчит.

[Konstantin Yudin]

хм. т.е. там реально имплант был.... мало того что они уже засветились ранее. бежать надо от таких

[Elek]

Ругается на https://rammichael.com/7-taskbar-tweaker

7+ Taskbar Tweaker.ex2 DPH:Trojan.Inject.3.64 Перемещено C:\7+ Taskbar Tweaker\bin\64\7+ Taskbar Tweaker.ex2

https://www.virustotal.com/#/file/df187e30501f848f1dbb4672903c5daad134858de7cad2a5aeb9aefccbb88064/detection

[Elek]

Хотя ругается правильно, модификация памяти процесса Windows Explorer является первичной функцией этой программы...

https://habr.com/post/174593/

[RomaNNN]

Хотя ругается правильно, модификация памяти процесса Windows Explorer является первичной функцией этой программы...
https://habr.com/post/174593/

Как хорошо, что даже объяснять ничего не надо

[ЛСергей]

RomaNNN, я с такими чудесами раньше не сталкивался. Обычно после скачивания, проверяю сканером инсталляционный файл, если все чисто, запускаю установку. После установки запустил, пару слов перевел, Др.ВЕБ молчал, т.е. всё нормально. А когда попробовал сделать перевод с экрана, получил сообщение о трояне. В карантин попал уже чистый файл, т.к. я карантине проверил ничего в нем не оказалось и когда восстановил из карантина, перевод работал и сообщения о трояне уже не было. Если бы не был установлен Др.ВЕБ, я получил бы этот троян в подарок.

[maxic]

ЛСергей, файл был закарантинен по поведению, а не по базам. Проверка ничего и не даст, его в базе нет. Однако поведенческие алгоритмы пресекли хулиганство с их точки зрения.