23 ответов в этой теме

[SergM]

Отправил файл PowerDataRecovery.exe на анализ
Пришел ответ "Ваш запрос был проанализирован. Это вирус уже знакомый Dr.Web ®.
Вирус: программа упакована трянской версией упаковщика".
Вопрос: Значит ли это, что сама программа безвредна и детект только по версии упаковщика или упаковщик добавляет в программу вредоносный код, который приводит к заражению компьютера?

[v.martyanov]

"Имя, сэстра, имя!" Без названия вируса ничего сказать нельзя.

[SergM]

#621117 Trojan.Packed.650

[v.martyanov]

Да, в данном случае это запись по упаковщику, чаще всего использующемуся злоумышленниками. Если вы считаете, что это ложно срабатывание - сообщите тут на форуме, я передам ;-)

[SergM]

Я считаю, что это ложное срабатывание. http://www.virustotal.com/ru/analisis/8a67...66251792858788b
Образец и присылал именно в категории "ложное срабатывание". Поэтому ответ аналитика меня и не удовлетворил.

[v.martyanov]

Передал. Но авторы программы - сами себе веселую жизнь устроили - используют вирусный упаковщик.

[SergM]

Ну пусть только на этот файл фолс исправят. Вобще-то там всё гораздо сложнее: использовался упаковщик из программы автоперевода с инжектированием... Вот инжектор-то и использует по всей видимости этот упаковщик.

[sergeyko]

C вводом нового сайта несколько изменились сабжекты вирусных реквестов, аналитики еще не приноровились к ним, вот и случаются досадные промахи.

[SergM]

Ситуацию понял. Прошу также исправить баг http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0021580 Вещь довольно серьёзная в плане получения и отправки тикетов. Проявляется не у меня одного.

[Ян]

сами себе веселую жизнь устроили - используют вирусный упаковщик.

Почему? Если он так хорош, почему бы его не использовать и для обычных программ? Цель-то одна - защита от крякинга.

[zyx2145]

Детектируется как я понимаю Themida с паленым ключем!!!
Если упаковщик так хорош, пусть пойдут и купят лицензионную версию, а не будут использовать пакер паленым ключем, который применяется вирусмейкерами.

[SergM]

Детектируется как я понимаю Themida с паленым ключем!!!

Отнюдь. Детектируется файл PowerDataRecovery.exe. Про особенности данного детекта я писал в этой ветке чуть выше.

[zyx2145]

PowerDataRecovery.exe скачивали с официального сайта, или с варезного ?

[v.martyanov]

Вот взял и все спалил :-)

[SergM]

C официального. Повторю ещё раз своё мнение: "Вобще-то там всё гораздо сложнее: использовался упаковщик из программы автоперевода с инжектированием... Вот инжектор-то и использует, по всей видимости, этот упаковщик".

[zyx2145]

Приведите ссылку, по которой Вы скачивали этот файл(или программу установки)
с оф. сайта.

[userr]

"Вобще-то там всё гораздо сложнее: использовался упаковщик из программы автоперевода с инжектированием... Вот инжектор-то и использует, по всей видимости, этот упаковщик".

Никак не пойму о чем речь. :) Как связаны PowerDataRecovery.exe и "программа автоперевода"? Вы при исследовании этих программ обнаружили, что они упакованы одним и тем же упаковщиком (каким?) А на "программу автоперевода" drweb ругается?

[sergeyko]

Хм, как оказалось, это у меня промах случился, а аналитики не промахиваются :).

PS А буг с оперой исправим.

[SergM]

http://www.powerdatarecovery.com/download.htm

[v.martyanov]

Надо отписать товарищам из Themida :-D