Trojan-Spy.Win32.Goldun.lx и Касперский. - Антивирус Касперского - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
Пит

Trojan-Spy.Win32.Goldun.lx и Касперский.

Автор Пит, в Антивирус Касперского - покупка, использование и решение проблем

Recommended Posts

Пит    15

Пит
Опубликовано

Интересный троян. Каспер 7 его видит, а удалить не может. Гы-гы

Скинул его в закрытую ветку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

да у нас тут вообще весело :)

1.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dexter    20

Dexter
Опубликовано

Ух, ты.

А тут у нас оказывается рекламs дофига.

Я срочно отключил антибаннер.:)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
Каспер 7 его видит, а удалить не может. Гы-гы

Вы имеете ввиду не может удалить сам файл? Или активную малвару?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Пит    15

Пит
Опубликовано
Вы имеете ввиду не может удалить сам файл? Или активную малвару?

И то и то. :)

Хотя тема уже не актуальна.

Вот за что уважаю касперовцев, так это за оперативность. :wink:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitry Perets    30

Dmitry Perets
Опубликовано
Вот за что уважаю касперовцев, так это за оперативность. :wink:

Хм. А можно поподробнее, плиз? В смысле, КАВ видел зверя, но не мог удалить, а теперь и видит и может удалить?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
И то и то. Smile

Пит

Вы ошибаетесь.

Активного этого вируса Каспер 7 должен убивать.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Пит    15

Пит
Опубликовано
Вы ошибаетесь.

Может быть.

Активного этого вируса Каспер 7 должен убивать.

Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitry Perets    30

Dmitry Perets
Опубликовано
Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Гы. а что у Вас инсталлятор в папке system32 мог делать? :)

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Как понимать "засунуть любой детектируемый вирь в инсталлятор"???

В данном случае троян был склеен джойнером MicroJoiner, плюс покриптован RCryptor.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Угу, именно. Если отключить в файловом антивирусе эмулятор, то этот файл бы не детектировался. Но если бы его вдруг решили бы запустить - то вирус бы был пойман сигнатурно в момент записи на диск - в данном случае в temp (в настройках джойнера можно задавать настройки, куда дропать склеенные файлы). То есть принцип работы тот же что и SFX-архива.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Пит    15

Пит
Опубликовано
Гы. а что у Вас инсталлятор в папке system32 мог делать?

Честно говоря, и меня это удивило. Но пользователь точно туда его не мог засунуть, он только начал осваивать компьютер. Для меня это осталось загадкой.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

А тут что должны раздаться аплодисменты! :D

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

По идеи - не должны. В данном случае другое - Касперский обнаружил трояна, которого вирмэйкер пытался спрятать обработкай клеем и криптером.

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Вот результат с вирустотал, сразу после того как Вы выложили сампл:

File userinit.exe received on 08.24.2007 20:57:27 (CET)Antivirus      Version      Last Update      ResultAhnLab-V3    2007.8.25.0    2007.08.24    -AntiVir    7.4.1.63    2007.08.24    DR/MicroJoiner.GenAuthentium    4.93.8    2007.08.24    -Avast    4.7.1029.0    2007.08.24    -AVG    7.5.0.484    2007.08.24    Win32/PEPatchBitDefender    7.2    2007.08.24    Win32.Bagle.M@mmCAT-QuickHeal    9.00    2007.08.23    (Suspicious) - DNAScanClamAV    0.91    2007.08.24    -DrWeb    4.33    2007.08.24    -eSafe    7.0.15.0    2007.08.23    Suspicious Trojan/WormeTrust-Vet    31.1.5084    2007.08.24    Win32/MicroJoiner!genericEwido    4.0    2007.08.24    -FileAdvisor    1    2007.08.24    -Fortinet    2.91.0.0    2007.08.24    -F-Prot    4.3.2.48    2007.08.24    -F-Secure    6.70.13030.0    2007.08.24    -Ikarus    T3.1.1.12    2007.08.24    Trojan-Dropper.Win32.Microjoin.BKaspersky    4.0.2.24    2007.08.24    -McAfee    5105    2007.08.24    -Microsoft    1.2803    2007.08.24    TrojanDropper:Win32/Microjoin.BNOD32v2    2483    2007.08.24    a variant of Win32/Spy.Goldun.LXNorman    5.80.02    2007.08.24    -Panda    9.0.0.4    2007.08.24    -Prevx1    V2    2007.08.24    -Rising    19.37.42.00    2007.08.24    -Sophos    4.21.0    2007.08.24    Troj/Haxdor-GenSunbelt    2.2.907.0    2007.08.24    VIPRE.SuspiciousSymantec    10    2007.08.24    -TheHacker    6.1.8.172    2007.08.24    -VBA32    3.12.2.3    2007.08.24    Trojan-Spy.Win32.Goldun.lxVirusBuster    4.3.26:9    2007.08.24    -Webwasher-Gateway    6.0.1    2007.08.24    Trojan.MicroJoiner.GenAdditional informationFile size: 17985 bytesMD5: 17de2f63ad480630b57fea3ea59cdc6aSHA1: db7de166d8be8420f14ae3b40a5562e0bda9cf48

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitry Perets    30

Dmitry Perets
Опубликовано
То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

А тут что должны раздаться аплодисменты!

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

vaber уже ответил, я только подчеркну. В вашем случае дело не в том, что КАВ пытался удалить инсталлятор и не смог. Он и не пытался его удалить, так как не считал его плохим =) Зато он смог эмулятором обнаружить, что у него внутри спрятан зловред. И сообщил вам об этом, так что вы даже не стали запускать инсталлятор, даже не предоставив ему возможности записать зловреда на диск. Это и есть пример качественной работы эмулятора.

Но в качестве пожелания к доработке движка: вероятно, в таких случаях, когда не получается удалить приклеенный объект, следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Добавлено спустя 8 минут 33 секунды:

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

НОД, похоже, тоже эмулятором выловил. И VBA, если только он так на дроппера не кричит....

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
...следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Именно. Так скоро и сделают.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

Угу - просто добавили сигнатуру на сам файл-инсталлятор.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Перейти к списку тем Антивирус Касперского - покупка, использование и решение проблем

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Тема: https://www.comss.ru/page.php?id=18331    " Ошибка проявляется в том, что при закрытии окна программы с помощью кнопки Закрыть (X) процесс taskmgr.exe не завершается полностью. При повторном открытии Диспетчера задач предыдущий экземпляр продолжает работать в фоне, хотя окно не отображается. В результате со временем накапливаются несколько процессов, что приводит к избыточному потреблению ресурсов системы и снижению производительности... " и это натолкнуло на мыслю. Раз есть такая проблема с taskmgr - то это может повториться с "любой" другой программой... т.е. можно? Реализовать команды: " Обнаружить и завершить все нетипично активные экземпляры Системных процессов\программ".  и " Обнаружить и завершить все нетипично активные экземпляры не Системных...". Такое может быть и с браузерами - например Firefox - если есть две версии программы установленные в разные каталоги и пользователь их запускает - часто бывает неполное завершение. тогда жрёт всё и вся...  
    • Ego Dekker
      ESET усиливает защиту домашних устройств и малого бизнеса от онлайн-мошенничества

      От Ego Dekker · Опубликовано

      Компания ESET (/исэ́т/) ― лидер в области информационной безопасности ― сообщает об обновлении ESET HOME Security Essential и ESET HOME Security Premium, комплексных подписок для защиты устройств домашних пользователей, и ESET Small Business Security, решения для малого бизнеса.

      Среди новинок ― функция восстановления после атак программ-вымогателей, мониторинг микрофона и улучшения безопасности при просмотре веб-сайтов, а также VPN, который предотвращает нежелательное отслеживание, обеспечивая неограниченный доступ к онлайн-контенту. Поскольку мошенничество сегодня является глобальной угрозой для всех пользователей, ESET обеспечивает усовершенствованную защиту от различных мошеннических методов, противодействуя атакам из разных типов источников, включая SMS-сообщения, электронную почту, телефонные звонки, URL-адреса, QR-коды, вредоносные файлы и другие.

      Обновленная платформа ESET HOME также упрощает управление безопасностью, что облегчает пользователям защиту своих семей, а владельцам малого бизнеса позволяет точно отслеживать защищенные устройства, а также устанавливать программы безопасности на все устройства благодаря доступному и понятному интерфейсу. 

      «Как поставщик передовых решений для защиты цифровой жизни, ESET тщательно отслеживает текущую ситуацию с угрозами и соответственно разрабатывает свои решения по кибербезопасности, ― комментирует вице-президент ESET в сегменте домашних пользователей и Интернета вещей. ― Усиленная защита от мошенничества, новая функция восстановления после атак программ-вымогателей и многочисленные усовершенствования безопасности конфиденциальных данных делают продукты ESET для домашних пользователей и малых предприятий мощными комплексными решениями, которые сочетают минимальное влияние на продуктивность и простоту в использовании».

      Решения для домашних устройств и малого бизнеса защищают все основные операционные системы ― Windows, macOS, Android ― и поддерживают разные устройства умного дома. Кроме того, ESET Small Business Security также защищает серверы Windows.

      Основные улучшения для пользователей Windows:

      •    Добавлен VPN (теперь доступно в подписке ESET HOME Security Premium): функция защитит сетевое подключение благодаря анонимному IP-адресу, а безлимитная пропускная способность обеспечит неограниченный доступ к онлайн-контенту. Кроме Windows, VPN также доступен пользователям MacOS, Android и iOS.

      •    Усилена защита конфиденциальных данных (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security): новый мониторинг микрофона обнаруживает и уведомляет пользователей о несанкционированных попытках доступа к микрофону на устройствах Windows.

      •    Улучшена безопасность при использовании браузера (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security) для защиты от фишинга, мошенничества и вредоносных веб-сайтов. Эта функция сканирует воспроизводимый HTML-код в браузере, чтобы обнаружить вредоносное содержимое, которое не фиксируется на уровне сети и с помощью «черного» списка URL.

      •    Добавлено восстановление после атак программ-вымогателей (доступно в решении ESET Small Business Security): первоначально разработанная для крупного бизнеса, функция позволяет минимизировать ущерб, вызванный этими угрозами. Как только защита от программ-вымогателей выявляет потенциальную угрозу, функция восстановления после атак немедленно создает резервные копии файлов, а после устранения опасности восстанавливает файлы, эффективно возвращая систему в прежнее состояние. Основные улучшения для пользователей macOS (доступны в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security):

      •    Поддержка macOS 26 (Tahoe) позволяет использовать защиту на текущей версии macOS.

      •    Поддержка HTTPS & HTTP/3 улучшает безопасность пользователей в Интернете.

      •    Управление устройствами контролирует внешние устройства, подключенные к Mac. Функция помогает защитить от вредоносного программного обеспечения и несанкционированной передачи данных, ограничивая доступ к определенным типам или даже отдельным устройствам. Следует отметить, что эти усовершенствования помогут противодействовать постоянно совершенствующимся угрозам с особым акцентом на предотвращение. Компания ESET также считает чрезвычайно важным сочетание кибергигиены с удобной защитой, поскольку действительно эффективная кибербезопасность должна быть простой в настройке и управлении.

      Более подробная информация о многоуровневой защите устройств домашних пользователей и решении для малого бизнеса. Пресс-выпуск.
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      ESET NOD32 Antivirus 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 19.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 19  (PDF-файл)
              Руководство пользователя ESET Internet Security 19  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 19  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 19  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 19-й версии полностью?
×