Jump to content
ares

Подрзреваю, что ложное срабатывание

Recommended Posts

KES 11.1.0.15669

При сборке java библиотеки https://gwt.googlesource.com/gwt/

создается файл

JdtCompiler$INameEnvironmentImpl.class

который  вызывает реакцию:

Application:     Java(TM) Platform SE binary
User:     ******** (Active user)
Component:     File Threat Protection
Result:     Detected: HEUR:Exploit.Java.Agent.gen
Object:     *****************************\gwt\dev\core\src\com\google\gwt\dev\javac\JdtCompiler$INameEnvironmentImpl.class
Reason:     Expert analysis
Database release date:     09.01.2019 18:45:00
Hash:     962fc7986e3bb2506707c01d0220f437d20b7ca8fa55aabc5af5ac16a8279b91

Файл тут - https://drive.google.com/open?id=1uHbQ00cSERWqHtDI9pdxgbykyAT24YBW

при этом в настройках KES по умолчанию не вылетает никаких предупреждений, а файл втихую исчезает. Это так и задумано?

Эх поправить бы заголовок

Share this post


Link to post

А вот что забавно: если файл детектируется, то почему не детектируется jar файл с ним, по сути являющийся архивом и приспокойненько съедающийся явой.

Настройки:

image.png.bf7090869fa3aeb730a7af5f1cf7500b.png

Share this post


Link to post

Ручной запуск и о чудо -

image.png.0dd58b536a58aeecd3f5baf0ee512d00.png

Распаковываю из него файл

image.png.e2b659c4fb3bd22d738e8f2e102deae4.png

Архив скачивается мавеном

    <groupId>com.google.gwt</groupId>
    <artifactId>gwt-dev</artifactId>
    <version>2.8.2</version>

 

Share this post


Link to post

В 11.1.0.17030 поведение тоже.

Архив - чист, файл, извлеченный из него, заражен.

логи, если надо, собрал.

 

P.S. Что за эксплоит - так и не понятно. Толь он так на бинарную сериализацию реагирует. Но это уж никто пояснять не будет. :(

Share this post


Link to post

При том, что, все же, "false positive"  непонятно, почему архив не алармил - или он отдельно был помечен как "false positive"?

Share this post


Link to post

Хм переименование или изменение архива к обнаружению не приводит, даже если еще раз этот файл в корень положить.

А вот создание нового архива - пожалуйста.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.