Перейти к содержанию
TANUKI

Вот что нарыл в плагине к Макстону...

Recommended Posts

TANUKI

Переставлял систему и решил заодно попробовать новинку от ESET - Smart Security. Бетка понравилась. Настройками чем-то напоминает Каспера 7-ку :) Очень радует, что после установки не нужно перегружать машину.

Да речь, в общем-то, не об этом. Решил просканировать комп, а заодно и ДВД с разнообразным софтом, который купил на днях. Вобщем, в одном из плагинов к браузеру Макстон (в инсталяшке самого браузера) ИСЭТ обнаружил Win32/TrojanDropper.Agent. Проверка по вирустотал показала вот что:

AhnLab-V3 2007.10.10.0 2007.10.09 Dropper/Agent.33280.I

AntiVir 7.6.0.20 2007.10.09 TR/Drop.Agent.BV.64

Authentium 4.93.8 2007.10.09 W32/Dropper.GAC

Avast 4.7.1051.0 2007.10.09 Win32:Trojan-gen. {UPX!}

AVG 7.5.0.488 2007.10.09 Dropper.Agent.EGQ

BitDefender 7.2 2007.10.10 Trojan.Dropper.Agent.BV

FileAdvisor 1 2007.10.10 High threat detected

Fortinet 3.11.0.0 2007.10.09 W32/Agent.BV!tr

F-Prot 4.3.2.48 2007.10.09 W32/Dropper.GAC

NOD32v2 2582 2007.10.09 probably a variant of Win32/TrojanDropper.Agent

Rising 19.44.20.00 2007.10.10 Dropper.Win32.Agent.bv

Sophos 4.22.0 2007.10.10 Mal/Generic-A

TheHacker 6.2.6.080 2007.10.09 Trojan/Dropper.Agent.bv

VBA32 3.12.2.4 2007.10.08 Trojan-Dropper.Win32.Agent.bv

Webwasher-Gateway 6.0.1 2007.10.09 Trojan.Drop.Agent.BV.64

Вроде бы, все ясно, но смущает одна вещь, точнее две.

Если вы заметили, то детектят этой файл только антивиры второго эшелона (не учитывая разве что БитДефендер и Авиру).

И второе - каким макаром эта зараза могла оказаться в инсталляторе Макстона. Это же бесплатный браузер и файл этот - не кеймейкер или кряк какой-нибудь...

Сам файл могу выслать, только не знаю куда :)

П. С. Кто что думает? Это параноя антивиров ? Или ведущие вендоры тормозят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Скорее всего первое :)

А файлик можно выложить в закрытом разделе нашего форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Сам файл могу выслать, только не знаю куда Smile

Пришли мне в личку - посмотрим что там за дроппер. С большой степенью вероятности - ложняк. Один сигнатуру добавил - другие вслед не разбирая. Паразиты. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Касперски Лаб пишет, что вроде все чисто. Файл остался на работе - завтра скину на мейл. Скинул бы в ветку, да доступа к ней нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

vaber

Отправил на инбокс :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Отправил на инбокс Smile

По мне так файл чистый :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

vaber

Ясно :) Значит фолс эвристика НОДа :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • loveawake.ru
      Задача. Нужно чтобы в панели инструментов была кнопка, при нажатии на которую очищались бы следующие каталоги:

      d:z_temp
      e:z_temp

      Т.е. должно очищаться содержимое этих каталогов, а сами они должны оставаться.
      Можно ли решить эту задачку?
    • demkd
      ---------------------------------------------------------
       4.11.5
      ---------------------------------------------------------
       o Добавлена поддержка отслеживания процессов.
         Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также
         достоверно определять все файлы, которые запускались с момента старта системы.
         Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с
         момента запуска системы.
         Твик #39 включает отслеживание, твик #40 отключает.
         (!) После включения отслеживания процессов требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
         (!) Только дла активных и удаленных систем начиная с Vista (NT6.0).  o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса,
         pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса
         можно открыть его информационное окно.
         Данные доступны с момента запуска системы, при включенном отслеживании процессов.  o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.  o Новая горячая клавиша:
         Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.  o В лог добавлена информация о времени старта Windows.  
    • santy
      кстати, сейчас удобно стало с фильтрующими правилами. добавил несколько правил по майнеру flock, и сразу попадают в отфильтрованный список все запчасти от майнера, по которым срабатывают созданные правила
    • demkd
      значит добавлю это дело в uVS, иногда будет полезно распутывать цепочки запуска
    • santy
      Привет. предложенный метод сработал.     но здесь он и в задачи попал, возможно не успел все зачистить    
×