Перейти к содержимому


Фото
- - - - -

LibreHardwareMonitor - DPH:Trojan.SoftLoader

Автор bess85 , июн 13 2024 14:48
DPH:Trojan.SoftLoader

  • Закрыто Тема закрыта
33 ответов в этой теме

#1 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Июнь 2024 - 14:48

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном? 

 

 

Spoiler

Сообщение было изменено VVS: 13 Июнь 2024 - 14:52

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 360 Сообщений:

Отправлено 13 Июнь 2024 - 14:48

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


#3 VVS

VVS

    The Master

  • Moderators
  • 19 828 Сообщений:

Отправлено 13 Июнь 2024 - 14:54

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном?

Отправить файл в вирлаб - https://vms.drweb.ru/sendvirus/?lng=ru


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#4 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Июнь 2024 - 14:56

ок, сейчас им сброшу, спс

p.s. до того как написать сюда, посмотрел в интернете, там тоже люди встретились с данной проблемой, но так не нашли как решить ее.


#5 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 431 Сообщений:

Отправлено 14 Июнь 2024 - 02:14

 

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном?

Отправить файл в вирлаб - https://vms.drweb.ru/sendvirus/?lng=ru

 

 

С DPH детектами нет никакого смысла писать в вирлаб, с ними только в тех.поддержку.


ок, сейчас им сброшу, спс

p.s. до того как написать сюда, посмотрел в интернете, там тоже люди встретились с данной проблемой, но так не нашли как решить ее.

 

"проблема" решается исключением, а вот каким я не помню. Обратитесь в тех.поддержку, там вам подскажут.


#6 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Июнь 2024 - 10:14

продублировал в поддержку, спс за подсказку

 

про исключения я согласен, но нужно быть на 100% уверенным что там нет закладки (хотя смотря на то что проект достаточно активно развивается и у него есть активное комюнити, можно сказать что с виду все там должно быть ок, но dr.web что то там видит именно при запуске), а ставить на сервера не проверенный софт достаточно опасно.


#7 VVS

VVS

    The Master

  • Moderators
  • 19 828 Сообщений:

Отправлено 14 Июнь 2024 - 10:18

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном?

Отправить файл в вирлаб - https://vms.drweb.ru/sendvirus/?lng=ru

С DPH детектами нет никакого смысла писать в вирлаб, с ними только в тех.поддержку.

Если сработала эвристика, то, вполне возможно, что там реальная малварь.
Разве не так?
 

ок, сейчас им сброшу, спс
p.s. до того как написать сюда, посмотрел в интернете, там тоже люди встретились с данной проблемой, но так не нашли как решить ее.

 
"проблема" решается исключением, а вот каким я не помню. Обратитесь в тех.поддержку, там вам подскажут.

Исключениями файлов.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#8 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Июнь 2024 - 10:56

Поддержка ответила так:

 

Данное приложение не является трояном. Срабатывание относится к поведенческому анализатору (приставка DPH:).
Причина срабатывания в том, что файл LibreHardwareMonitor.exe не имеет никакой цифровой подписи. То есть это неизвестный и неопознанный исполняемый файл, который пытается использовать драйвер WinRing0.sys. Драйвер WinRing0.sys может быть использован в том числе во вредоносных целях и так как его пытается запустить некий неопознанный .exe файл, то антивирус реагирует на такое поведение, как на потенциально вредоносное.

Для срабатывания DPH:Process.SoftLoader исключения задаются через исключаемые процессы для Spider Guard.

 

Если вы доверяете издателю данного приложения и источнику, из которого он был получен, то можете добавить исполняемый файл LibreHardwareMonitor.exe в исключения компонента Spider Guard.
Локально в настройках антивируса: Центр безопасности - Исключения - Приложения - через "+" указать полный путь к файлу LibreHardwareMonitor.exe и исключить его активность для компонента Spider Guard.
Затем файл можно будет восстановить из Карантина, перезапустить систему и попробовать повторить попытку запуска. Срабатывания быть не должно.

 

---------------------------------

получается что только из-за того что нет подписи, она и срабатывает (защита)


Сообщение было изменено bess85: 14 Июнь 2024 - 10:56

#9 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 431 Сообщений:

Отправлено 14 Июнь 2024 - 13:45

>получается что только из-за того что нет подписи, она и срабатывает (защита)

 

Нет. Срабатывает, потому что драйвер с уязвимостью и может навредить системе, а его загружает какое-то неопознанное ПО, которое к драйверу изначально не имеет никакого отношения.


#10 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 431 Сообщений:

Отправлено 14 Июнь 2024 - 13:47

Если сработала эвристика, то, вполне возможно, что там реальная малварь.
Разве не так?

 

Может и так, только разбираться с логами, почему сработала эвристика будет тех. поддержка, а не вирлаб, потому что возможны три варианта:

 

1. Выдача целеуказаний по созданию исключений, если кейс известный

2. Создание бага/консультации на разработку

3. Создания тикета в вирлаб на детект недетектируемой малвари.


#11 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Июнь 2024 - 21:49

1. Кейс известный, если искать в интернете он тянется еще с open hardware monitor, а Libre Hardware Monitor его форк

2. Ну тут наврятли поможет, но я попробую тут им задать вопрос на github, может как то можно решить вопрос с подписью программы (хотя мне кажется что если бы они могли они бы уже сделали как какой-нибудь HWMONITOR, но с него нельзя снимать показания как с Libre Hardware Monitor в тот же zabbix, для чего я и собираюсь его использовать)

3. я им еще в первый раз отправил как ложное срабатывание, после этого не привета не ответа, в отличие от тех поддержки, они очень быстро ответили


#12 WAJIM

WAJIM

    Member

  • Posters
  • 176 Сообщений:

Отправлено 02 Ноябрь 2024 - 01:49

У меня тоже проблема с DPH:Process.SoftLoader из-за WinRing0.sys, но добавление exe-файла в исключения не помогает!
Срабатывание идет из-за HIPS.
Добавление exe-файла в исключения HIPS с полным разрешением всех действий не помогает.
Отключение HIPS помогает.
Компонента SpiderGuard у меня нет.

Как правильно добавить программу в исключения, чтобы она работала без отключения HIPS?
 

Прикрепленные файлы:

  • Прикрепленный файл  Clip.png   48,71К   0 Скачано раз
  • Прикрепленный файл  Clip_2.png   37,14К   0 Скачано раз
  • Прикрепленный файл  Clip_3.png   62,82К   0 Скачано раз

Сообщение было изменено WAJIM: 02 Ноябрь 2024 - 01:49

#13 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 077 Сообщений:

Отправлено 02 Ноябрь 2024 - 01:59

Второй скрин - не нужно.
Последний скрин - верно.


#14 WAJIM

WAJIM

    Member

  • Posters
  • 176 Сообщений:

Отправлено 02 Ноябрь 2024 - 02:04

На втором скрине я уже от безысходности добавил.

На последнем скрине исключение не помогает.

Или это опять WinXP виновата?

 

Кстати, а это нормально, что после восстановления из карантина файл блокируется до следующей перезагрузки?


Сообщение было изменено WAJIM: 02 Ноябрь 2024 - 02:06

#15 WAJIM

WAJIM

    Member

  • Posters
  • 176 Сообщений:

Отправлено 02 Ноябрь 2024 - 03:42

Вот что в логе происходит:

id: 714, timestamp: 02.11.2024 05:44:58.0765, type: ServiceCreate (56), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 704/1852:\Device\HarddiskVolume1\WINDOWS\system32\services.exe
context: start addr: 0x0000DCB2, image: 0x00000000:<unknown>
unique id: 3716-133749746987187500-4194304
request by: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0SampleCpp.exe:3716, ilevel: unknown
fileinfo: size: 231608, easize: 39, attr: 0x20, buildtime: 01.03.2009 20:08:35.0000, ctime: 02.11.2024 04:55:04.0000, atime: 02.11.2024 04:55:04.0000, mtime: 02.11.2024 04:55:48.0928, descr: WinRing0 Sample for C++, ver: 1.3.0.13, company: OpenLibSys.org, oname: WinRing0SampleCpp.exe
signer: CN=TTV/WS Development, issuer: CN=TTV/WS Development, timestamp: 0, thumbprint: 192fb8ef88bb7ed006869f450a168bc0b53f3814, eku: unknown [20], flags: 0x28, hash alg: Sha384
file sha1: 600e921e514fc9d6d056a64e57845a4ef4d7739b
file sha256: c73fe62b1c37de516daaccf73cb36aecae9a996b8c269908d474268b42d317a1
status: pe32, new_pe / root_not_trusted / unknown / unknown / unknown / unknown
svc name: WinRing0_1_2_0, wow64: 0
type: driver [1], start: demand [3], group: , path: D:\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0.sys
fileinfo: size: 14416, easize: 39, attr: 0x20, buildtime: 26.07.2008 20:25:10.0000, ctime: 02.11.2024 04:55:17.0000, atime: 02.11.2024 04:55:17.0000, mtime: 02.11.2024 04:55:48.0912, descr: WinRing0, ver: 1.2.0.5, company: OpenLibSys.org, oname: WinRing0.sys
signer: C=JP|CN=Noriyuki MIYAZAKI, issuer: C=BE|O=GlobalSign nv-sa|OU=ObjectSign CA|CN=GlobalSign ObjectSign CA, timestamp: 0, thumbprint: cda98ac4019456095593902e4b4a87ac283ed54a, eku: unknown [0], flags: 0x0, hash alg: Sha1
file sha1: 8ac34eb21b9b38f67cd29684c45696c20ab2e75a
file sha256: 206ee7a7c3f4d9496f742ccb84718f556ecb4ba2a95fe7e0cdf3a003ffbe4597
status: pe32, driver, new_pe / cert_time_expired / unknown / unknown / unknown / suspicious, exploitable_driver
resolved path: D:\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0.sys, status: pe32, driver, new_pe (d00000)
fileinfo: size: 14416, easize: 39, attr: 0x20, buildtime: 26.07.2008 20:25:10.0000, ctime: 02.11.2024 04:55:17.0000, atime: 02.11.2024 04:55:17.0000, mtime: 02.11.2024 04:55:48.0912, descr: WinRing0, ver: 1.2.0.5, company: OpenLibSys.org, oname: WinRing0.sys
signer: C=JP|CN=Noriyuki MIYAZAKI, issuer: C=BE|O=GlobalSign nv-sa|OU=ObjectSign CA|CN=GlobalSign ObjectSign CA, timestamp: 0, thumbprint: cda98ac4019456095593902e4b4a87ac283ed54a, eku: unknown [0], flags: 0x0, hash alg: Sha1
file sha1: 8ac34eb21b9b38f67cd29684c45696c20ab2e75a
file sha256: 206ee7a7c3f4d9496f742ccb84718f556ecb4ba2a95fe7e0cdf3a003ffbe4597
status: pe32, driver, new_pe / cert_time_expired / unknown / unknown / unknown / suspicious, exploitable_driver
path: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0SampleCpp.exe ==> denied access to file
process: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0SampleCpp.exe:3716 ==> suspended all threads in process
path: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0SampleCpp.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0SampleCpp.exe:3716 ==> terminated
disinfect: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0SampleCpp.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0SampleCpp.exe
threat: DPH:Process.SoftLoader ==> sended user virus found alert
path: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0.sys ==> denied access to file
path: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0.sys ==> quarantined
disinfect: \Device\HarddiskVolume2\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0.sys ==> quarantined [8]
threat: DPH:Process.SoftLoader ==> sended user virus found alert
id: 714 ==> denied [5], time: 119.110111 ms

Какое нужно добавить исключение, чтобы отключить срабатывание?


#16 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 077 Сообщений:

Отправлено 02 Ноябрь 2024 - 11:46

Кстати, а это нормально, что после восстановления из карантина файл блокируется до следующей перезагрузки?

Нормально.


#17 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 077 Сообщений:

Отправлено 02 Ноябрь 2024 - 11:47

У вас на скрине один путь указан, в логе - другой.


#18 WAJIM

WAJIM

    Member

  • Posters
  • 176 Сообщений:

Отправлено 02 Ноябрь 2024 - 12:18

Не обращайте внимание, это я разные попытки делал из разных папок.


#19 WAJIM

WAJIM

    Member

  • Posters
  • 176 Сообщений:

Отправлено 02 Ноябрь 2024 - 12:25

Вот еще раз создал правило HIPS и получил срабатывание после запуска exe-файла.

Прикрепленные файлы:

  • Прикрепленный файл  Clip.png   52,85К   0 Скачано раз

#20 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 077 Сообщений:

Отправлено 02 Ноябрь 2024 - 12:31

status: pe32, driver, new_pe / cert_time_expired / unknown / unknown / unknown / suspicious, exploitable_driver
resolved path: D:\TMP\WinRing0_1_3_0-FUL81574\release\WinRing0.sys, status: pe32, driver

 

Посмотрите в защиту от эксплоитов, у вас тут указание на уязвимый драйвер, который используется в атаках.


Назад к Помощь по лечению

Also tagged with one or more of these keywords: DPH:Trojan.SoftLoader

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·