Перейти к содержанию
K_Mikhail

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

Recommended Posts

priv8v

главное при установке мюторрента галочки лишние снять

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уже, не актуально, сняли с баз.. )

https://www.virustotal.com/ru/file/ea90d06c...7f05c/analysis/

На VT у Dr.Web отключён детект потенциально опасных программ, поэтому выводится ОК вместо Program.Mediaget. Сознательно или ошибочно - не знаю. Локальным сканером и онлайн-проверкой ловится как Program.Mediaget.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Program.Mediaget.

Program.* - это что за разновидность детекта такая? На все программы такой? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Program.* - это что за разновидность детекта такая? На все программы такой? :)

Только те, которые добавлены в базу потенциально опасных программ. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Warmonger

Хм...

Детект вирустотала от 2012-01-05 - всего шесть антивирусов тогда реагировало на тот старый установщик.

И современный детект от 2013-10-05 - восемнадцать антивирусов на свежий установщик. И ещё результат virusscan.jotti.org.

Интересный коммент https://www.virustotal.com/ru/file/fb52d6e6...sis/1380962421/ на вирустотале "uses your computer in ddos attack" - видимо действительно это сетевой бот.

Что-то из юмора:

Срач "поддержки" из медиаджета на форуме Dr. Web c модераторами:

http://forum.drweb.com/index.php?showtopic...amp;hl=mediaget :D

А вообще сейчас появилась целая категория различных вредоносных PUP-установщиков лжеторрентов .EXE. Дурной пример заразителен.

И к примеру, Касперский с настройками по умолчанию их вообще не видит. Не так давно удалял такую хрень у знакомых - рекламный баннер на рабочий стол с просьбой дать вебмани, а ведь комп то под защитой Каспера. В общем not-a-virus такой not-a-virus. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Что-то из юмора:

Срач "поддержки" из медиаджета на форуме Dr. Web c модераторами:

Аналогичный срач на форуме Eset Nod http://forum.esetnod32.ru/messages/forum6/...2/#message50472

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Warmonger
Аналогичный срач на форуме Eset Nod http://forum.esetnod32.ru/messages/forum6/...2/#message50472

В общем ещё погуглил подобное...

Оказывается такое ещё было даже на Рутрекере! Там вообще прямо предупреждают: "MediaGet / MediaGet2 — внимание! Данный клиент является вредоносным программным обеспечением!" - http://rutracker.org/forum/viewtopic.php?t=2965837

Тестировали его тамошние админстраторы трекера и выявили отличия от других торрент клиентов:

>>>>сумасшедший SYN-флуд. Открывается больше 200 сокетов раз в 10 секунд по разным направлениям

>>>>Способна скачивать "корректировку" при старте, проводить SYN-атаки на целевой хост - имя "цели" может менятся в процессе работы программы.

>>>>За сутки тестирования вердикт не изменился - программа суть паразит и гнать ее надо

>>>>Эта гнусность открывает не один порт, а один "высокий" порт (гонять данные) и целый диапазон внизу - с 1100 по 1150 Возможность удаленного управления можно считать доказанной. Плюс подготовила пачку системной статистики (в основном инишники) к отправке

В общем срач с "поддержкой" от медиаджета и там начался: http://rutracker.org/forum/viewtopic.php?t=4134462

Во работают люди! :D:D:D

Отредактировал Warmonger

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Что-то из юмора:

Срач "поддержки" из медиаджета на форуме Dr. Web c модераторами:

http://forum.drweb.com/index.php?showtopic...amp;hl=mediaget :D

Модераторы, не модераторы, а сборище тупиц там, что аналитики, что Комаровы, сишный код в глаза не видавшие.

Но проблема действительно существует, всякая хрень очень активно пытается установиться на комп юзера - факт и что-то активно пытается сделать на этом самом компе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
Модераторы, не модераторы, а сборище тупиц там, что аналитики, что Комаровы, сишный код в глаза не видавшие.

Но проблема действительно существует, всякая хрень очень активно пытается установиться на комп юзера - факт и что-то активно пытается сделать на этом самом компе.

И тут ты на белом коне с вершины Арарат писаешь на головы неверных?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
И тут ты на белом коне с вершины Арарат писаешь на головы неверных?

Нет, говорю, что думаю. В докторе полно умных людей, но они просто не публичны, вот и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
Нет, говорю, что думаю. В докторе полно умных людей, но они просто не публичны, вот и все.

Ёпта, ну ведь можешь ведь написать нормально!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

хотел бы всех предупредить, что есть правила форума! не стоит нарушать

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×