TANUKI

Вот что нарыл в плагине к Макстону...

В этой теме 8 сообщений

Переставлял систему и решил заодно попробовать новинку от ESET - Smart Security. Бетка понравилась. Настройками чем-то напоминает Каспера 7-ку :) Очень радует, что после установки не нужно перегружать машину.

Да речь, в общем-то, не об этом. Решил просканировать комп, а заодно и ДВД с разнообразным софтом, который купил на днях. Вобщем, в одном из плагинов к браузеру Макстон (в инсталяшке самого браузера) ИСЭТ обнаружил Win32/TrojanDropper.Agent. Проверка по вирустотал показала вот что:

AhnLab-V3 2007.10.10.0 2007.10.09 Dropper/Agent.33280.I

AntiVir 7.6.0.20 2007.10.09 TR/Drop.Agent.BV.64

Authentium 4.93.8 2007.10.09 W32/Dropper.GAC

Avast 4.7.1051.0 2007.10.09 Win32:Trojan-gen. {UPX!}

AVG 7.5.0.488 2007.10.09 Dropper.Agent.EGQ

BitDefender 7.2 2007.10.10 Trojan.Dropper.Agent.BV

FileAdvisor 1 2007.10.10 High threat detected

Fortinet 3.11.0.0 2007.10.09 W32/Agent.BV!tr

F-Prot 4.3.2.48 2007.10.09 W32/Dropper.GAC

NOD32v2 2582 2007.10.09 probably a variant of Win32/TrojanDropper.Agent

Rising 19.44.20.00 2007.10.10 Dropper.Win32.Agent.bv

Sophos 4.22.0 2007.10.10 Mal/Generic-A

TheHacker 6.2.6.080 2007.10.09 Trojan/Dropper.Agent.bv

VBA32 3.12.2.4 2007.10.08 Trojan-Dropper.Win32.Agent.bv

Webwasher-Gateway 6.0.1 2007.10.09 Trojan.Drop.Agent.BV.64

Вроде бы, все ясно, но смущает одна вещь, точнее две.

Если вы заметили, то детектят этой файл только антивиры второго эшелона (не учитывая разве что БитДефендер и Авиру).

И второе - каким макаром эта зараза могла оказаться в инсталляторе Макстона. Это же бесплатный браузер и файл этот - не кеймейкер или кряк какой-нибудь...

Сам файл могу выслать, только не знаю куда :)

П. С. Кто что думает? Это параноя антивиров ? Или ведущие вендоры тормозят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скорее всего первое :)

А файлик можно выложить в закрытом разделе нашего форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сам файл могу выслать, только не знаю куда Smile

Пришли мне в личку - посмотрим что там за дроппер. С большой степенью вероятности - ложняк. Один сигнатуру добавил - другие вслед не разбирая. Паразиты. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Касперски Лаб пишет, что вроде все чисто. Файл остался на работе - завтра скину на мейл. Скинул бы в ветку, да доступа к ней нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      Два спамера дают ссылку на левый сайт и пытаются выдать за оф. сайт 
       
    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.