Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

KOLANICH

анализ вируса

Рекомендованные сообщения

Запустил сегодня одну игру (подписанную цифровой подписью кстати, видимо вредоносный код находился в дллке)

Поиграл, вышел.

занялся своими делами

вдруг каспер выдал жёлтый алерт - медиа плеер классик изменён, эвристика негодует, высокий рейтинг опасности.

я залез в отчёты, и увидел , что половина хороших программ на моём компе (с цифровой подписью проги) перешли в слабые ограничения - каспер молчал по этому поводу

разумеется, сохранил несколько образцов для анализа,и сделал откат акронисом

выложу тут в виде 2х винрарных архивов (из-за ограничения форума - 1 мегабайт на файл)

ЭКЗЕШНИКИ НЕ ЗАПУСКАТЬ!!!!

(щас инет отключён, разослать антивирусным компаниям не могу)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В инструкции же мы указали, чтобы вредоносные файлы на почту присылали, а не просто прикрепляли.

 

Файлы удалил отсюда и положил их на почтовом ящике в разделе "Черновики".

 

P.S. Результаты проверки файлов:

http://virscan.org/report/67e46313d9f4db8a2d634992cb5d7381.html

http://www.virscan.org/report/d4bac0318a7426413139d19b3848476b.html

http://www.virscan.org/report/1f6b0abd64ec0d0d28a6f5b961ce6fc5.html

Ни один антивирус ничего не нашёл.

 

Notepad++: скачал с оф.сайта последнюю версию и сравнил: всё совпало (и размер, и MD5/SHA1/CRC32).

 

А почему подозрение пало именно на эти файлы?

Может Каспер глюкнул или во время последнего обновления что-то в его базе сбилось, или же вы сами в настройках что-то поменяли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подозрение пало потому, что каспер задетектил их изменение и перевёл их в слабые ограничения

возможно, что каспер глюканул (в последнее время он вообще что-то ухудшается и становится более сырым,вот сейчас например вкладка "контроль активности" в отчётах вообще пустая, даже "задача запущена" нет)

насчёт ни один антивирус не обнаружил - не знаю, вирус можно запаковать, и ничто его не обнаружит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я же написал, что конкретно по notepad++ совпали контрольные суммы, вычисленные тремя различными способами, с файлом, скачанным с оф.сайта. Т.е. конкретно этот файл точно безвредный и никакой не перепакованный.

А вот почему Каспер что-то явно нормальное куда-то там у себя перевёл, смогут лучше подсказать только либо очень активно пользующиеся им, либо сотрудники. Так что стоит их ответа подождать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попался на исправленную уже багу - если облако недоступно, то программы переводятся в ограничения, т.к. не удалось проверить их целостность. А вот то, что программы с ЭЦП попали в слабые - это реально странно. Надеюсь у тебя не сборка ОС типа Зверя? Потому как подписи мы всегда доверяем, если специально через КСН не будет задано недоверие.

В общем, сильно похоже на сборку ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надеюсь у тебя не сборка ОС типа Зверя? Потому как подписи мы всегда доверяем, если специально через КСН не будет задано недоверие.

В общем, сильно похоже на сборку ОС.

а то, что ретейловский образ - самый стабильный - поддерживаю, правда юзаю немного не ритейловский - от yurypet

и от путника иногда, у него вроде нормальные сборки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сейчас у меня сборка от yurypet - изменена только картинка рабстола и добавлены обновления

бинарники не трогались вообще

 

Попался на исправленную уже багу - если облако недоступно, то программы переводятся в ограничения, т.к. не удалось проверить их целостность.

хмм

а хеш-суммы для чего?

и если бага исправленная, а у меня последняя версия (11.0.2.556), то почему я на неё попался?

А вот то, что программы с ЭЦП попали в слабые - это реально странно.

поэтому я и прислал на анализ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...

поэтому я и прислал на анализ

какие-то другие проявления были (кроме сообщений каспера) - сетевая активность, неработоспособность чего-либо, изменения политик и настроек?

после отката комп трудно\невозможно анализировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вроде не было, можно списать на глюк каспера, но что-то подобные глюки слишком часто стали появляться

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
сейчас у меня сборка от yurypet - изменена только картинка рабстола и добавлены обновления

бинарники не трогались вообще

Точно?

C:\Users\myachin>E:\Share\sigcheck.exe c:\Windows\System32\winlogon.exe

 

Sigcheck v1.70 - File version and signature viewer

Copyright © 2004-2010 Mark Russinovich

Sysinternals - www.sysinternals.com

 

c:\windows\system32\winlogon.exe:

Verified: Signed

Signing date: 0:56 05.11.2009

Publisher: Microsoft Corporation

Description: Windows Logon Application

Product: Microsoftо Windowsо Operating System

Version: 6.1.7600.16385

File version: 6.1.7600.16385 (win7_rtm.090713-1255)

Вот хотелось бы такое увидеть для userinit, winlogon, explorer, wininit, smss, services, csrss. Без них я не могу знать, реально ли там все в порядке.

а хеш-суммы для чего?

В смысле для чего? Он по ним и проверяет в облаке. Не файл же отправляет, а хеш файла :) Проблема существует уже год-полтора. Как оказалось, обращений в ТП по ней менее десятка, как я понимаю, потому и нет фикса. Т.к. у людей либо более-менее нормальный Инет, либо его вообще отключают, если он не нужен. В обоих случаях проблема не будет воспроизводится - нужен кратковременный сбой и попасть так, чтобы КИС именно во время этого перебоя начал перепроверять данные в облаке.

и если бага исправленная, а у меня последняя версия (11.0.2.556), то почему я на неё попался?

Потому что исправлено в 12.0. И техподдержка тебе ее уже может предоставить, если ты обратишься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
c:\windows\system32\winlogon.exe:
   	Verified:   	Signed
   	Signing date:   19:32 20.11.2010
   	Publisher:  	Microsoft Corporation
   	Description:	????????? ????? ? ??????? Windows
   	Product:    	???????????? ??????? Microsoftо Windowsо
   	Version:    	6.1.7601.17514
   	File version:   6.1.7601.17514 (win7sp1_rtm.101119-1850)


Sigcheck v1.71 - File version and signature viewer
Copyright (C) 2004-2010 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\explorer.exe:
   	Verified:   	Signed
   	Signing date:   22:10 28.02.2011
   	Publisher:  	Microsoft Corporation
   	Description:	?????????
   	Product:    	???????????? ??????? Microsoftо Windowsо
   	Version:    	6.1.7600.16385
   	File version:   6.1.7600.16385 (win7_rtm.090713-1255)


c:\windows\system32\csrss.exe:
   	Verified:   	Signed
   	Signing date:   6:34 14.07.2009
   	Publisher:  	Microsoft Corporation
   	Description:	??????? ?????????? ??????-??????
   	Product:    	???????????? ??????? Microsoftо Windowsо
   	Version:    	6.1.7600.16385
   	File version:   6.1.7600.16385 (win7_rtm.090713-1255)

c:\windows\system32\services.exe:
   	Verified:   	Signed
   	Signing date:   6:34 14.07.2009
   	Publisher:  	Microsoft Corporation
   	Description:	?????????? ????? ? ????????????
   	Product:    	???????????? ??????? Microsoftо Windows
   	Version:    	6.1.7600.16385
   	File version:   6.1.7600.16385 (win7_rtm.090713-1255)


c:\windows\system32\smss.exe:
   	Verified:   	Signed
   	Signing date:   6:34 14.07.2009
   	Publisher:  	Microsoft Corporation
   	Description:	????????? ??????  Windows
   	Product:    	???????????? ??????? Microsoftо Windowsо
   	Version:    	6.1.7600.16385
   	File version:   6.1.7600.16385 (win7_rtm.090713-1255)


c:\windows\system32\wininit.exe:
   	Verified:   	Signed
   	Signing date:   6:34 14.07.2009
   	Publisher:  	Microsoft Corporation
   	Description:	???????????? ?????????? Windows
   	Product:    	???????????? ??????? Microsoftо Windowsо
   	Version:    	6.1.7600.16385
   	File version:   6.1.7600.16385 (win7_rtm.090713-1255)

:\windows\system32\userinit.exe:
  	Verified:   	Signed
  	Signing date:   19:32 20.11.2010
  	Publisher:  	Microsoft Corporation
  	Description:	?????????? Userinit ??? ????? ? ???????
  	Product:    	???????????? ??????? Microsoftо Windowsо
  	Version:    	6.1.7600.16385
  	File version:   6.1.7600.16385 (win7_rtm.090713-1255)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Угу. Обратись в ТП за 12-ой.

 

двенадцатая - она же бетка

бетки обычно глючнее, чем стейбл (капитан очевидность был тут :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. У нас всегда собираются и бета, и релизные ветки :) Суть не в этом.

2. Не всегда. Начиная с 2012 принят новый метод тестирования и к бетам предъявлены требования, которых ранее не было ;)

3. 12.0.0.374 подписан в релиз. Он есть у техподдержки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что-то странное творится опять

20.05.2011 18:56:35 WinRAR archiver Контроль программ Программа помещена в группу Слабые ограничения Эвристически расчитанный рейтинг опасности

post-149044-023935900 1305903731_thumb.png

 

хеши хештаб пишет такие

CRC32: EF55218A

MD5: B284E0F20811226BC0211BF742247542

SHA-1: ABBEDB56AFE58B76B80732F42995F8500334B604

SHA-256: AA3DB28E89B5E48128C8A63B197AB5F58677416FCD4013F9B8752983BC2E6359

 

 

post-149044-030651400 1305904159_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что-то странное творится опять

 

малоопасно -в чем проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Облако недоступно, что ли? :) А разве ВинРар все еще не подписан?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Облако недоступно, что ли? :) А разве ВинРар все еще не подписан?

 

на нём нет подписи

а облако было доступно - на первом скрине 5 человечков

 

вернулся в доверенные

глюканул он

кстати, а почему kis не хранит кеш облака

(в смысле хешсумму и вердикт для программ, присутствующих в контроле)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вернулся в доверенные

Да, вот он такой, этот Каспер, то сюда то туда таскает. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Человеки - это одно, статус - другое :) Ну это повторение того, что было описано до этого. В общем, то, что исправлено в 12. И да, кеш хранится, но малое время, иначе бы сразу после получения статуса программа обратно улетала :) В 12 логика очистки кеша изменена. Там, если есть проблема с получением статуса для ранее известного он не улетает, а продолжает висеть на своем месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах