Jump to content
Sapsan932

PDM:Trojan.Win32.Generic KTS19

Recommended Posts

Posted (edited)

Добрый день. Аналогичная ситуация, как в этой ветке https://forum.kaspersky.com/index.php?/topic/367423-pdmtrojanwin32generic-решено/&  для корпоративных пользователей, только для домашних. Обнаруживает PDM:Trojan.Win32.Generic. KTS 19.0.0.1088(d). Программа DTLite.

Заражение или ложный детект (поди разбери что это) происходит следующим образом:
1. Пользователь открывает последний оставшийся с расширением Kaspersky Protection браузер  Mozilla Firefox, и напротив оф.сайта видит зелёный щит, клацнув по которому получает информацию, что по данным  KSN - сайт безопасный.
2. Смело скачав .exe файл (при загрузке - KTS не ругается), нажимает ПКМ на "просмотреть инф-ию в KSN" - и там видит, что программа Daemoon Tools Lite Installer - доверенная, сертификат Disk Soft Ltd и более 100 000 пользователей (подключённых к KSN) её использовали.
3. Отлично, но на всякий случай запускает выборочную проверку данного инстальника и получает результат: "безопасно, угроз не обнаружено".

Т.к. ЛК сообщила, что всё чисто, смело запускаем установщик, всё идёт отлично, установка почти завершена, и тут - бац!  Троян! Или просто потенциально нежелательная - неясно.  При инсталляции программы центр уведомления выдаёт: "у программы обнаружено подозрительное поведение характерное для вредоносной программы" (а раньше через KTS  или при выборочной проверке нельзя было сообщить? Зачем они тогда?), KTS блокирует запуск программы, предлагая лечить с перезагрузкой, но при этом сама "удаляя вредоносную программу" до этого, лишая возможности загрузить найденный файл на проверку, скажем сюда: https://virusdesk.kaspersky.ru/. Нажимая затем на "лечить с перезагрузкой" начинаются зависания - лечение активного заражения, затем перезагрузка, запускается автоматом "модуль восстановление после заражения", а затем без спроса запускается "полная проверка".

Проверялось (попытка установки программы) на нескольких компьютерах с Win 10 x32 1709, с  Win 10 1809 x64 и т.д., поведение везде аналогичное за исключением машин, где DTLite была установлена ранее.  Находим ноут, где стоят: KTS 19.0.0.1088(d), DTLite и аналогичная Win 10 1809 x64 ( DTLite  была на нем установлена на 2 с половиной месяца ранее: 11.01.2019)... И замечаем, что на этой машине KTS 19.0.0.1088(d) не ругается на DTLite, программа работает нормально и никакого PDM:Trojan.Win32.Generic не находится. Проверил список исключений KTS - там этой программы нет, список исключений вообще пуст. То, что KTS не даёт установить нужную программу, которая ранее установлена и вполне себе работает на другом аппарате с KTS - печально. Начинаем прослеживать что за файл и куда что устанавливается. При установке DTLite путь сохранения автоматом такой: C /Programm Files/ Daemoon Tools Lite. Однако, найденный "троян" обнаруживается в  С\Пользователи\юзер\AppData\Local\Temp\DT_INSTALL_TMP\DTinstaller.exe (данный файл вылечивает). Удаляет такие два объекта:  ...AppData\Local\Temp\DTLite10100-0797.exe  и ...AppData\Local\Temp\DT_INSTALL_TMP\DTInstaller.exe//data0088.res//Fusion.dll  Если после всех лечащих манипуляций проделанных KTS запустить, скажем, автопоиск проблем в реестре с помощью CCleaner, то там покажет в разделе реестра HKLM\Software\Microsoft\Windows\CurrrentVersion\Uninstall\Daemoon Tools Lite - ошибку удаления приложения C:\Programm Files\Daemon Tools Lite\uninstal.exe

Собственно, что это такое детектирует - неясно. Неясно также, почему на одном ПК KTS19 даёт спокойно работать программе, а на других - тот же KTS19 даже не даёт её установить. Но предельно ясно одно, что пользователю самодеятельность KTS доставляет неудобства вызывая беспокойство, не отвечая при этом не вопрос и не давая ясности: если действительно троян залазит при установке файла - почему тогда KSN пишет, что сайт безопасный, а выборочная проверка даёт, что угроз не обнаружено, а если это ложный детект, до почему его до сих пор не пофиксили (при том, что более 100 000 человек уже использовали, а сообщения про это уже четвёртый год). Кто-то может сказать что-то определённое? Если в  KTS при обнаружении PDM:Trojan.Win32.Generic клацнуть на детальную инфу, то откроется справка ЛК:  Downloader, Riskware, осуществляют в скрытом режиме загрузку различного контента с сетевых ресурсов. Вредоносными не являются. Такие программы могут использоваться злоумышленниками для загрузки вредоносного контента на компьютер-жертву. Если такая программа установлена на вашем компьютере вами или вашим сетевым администратором, никакой опасности она не представляет. Т.е., т.к. она установлена мной, никакой опасности она не представляет, её нужно добавлять в исключения? Или не нужно, т.к. опасность всё же представляет?

 

 

Edited by Sapsan932

Share this post


Link to post

Sapsan932  Тот DTInstaller.exe, который вы скачиваете и проверяете разными способами, это web-установщик. И разумеется никакого вредоносного кода в нем нет.

При его запуске, он скачивает дистрибутив программы во временную папку ( ..AppData\Local\Temp\DT_INSTALL_TMP ) И уже при запуске инсталлятора, Касперский что-то в нем находит. С большой долей вероятности, Fusion.dll  часть какой-то рекламной программы (на сайте программы кстати предупреждается, что в бесплатной версии присутствует реклама).

За подробностями вам лучше обратиться в техподдержку.

Share this post


Link to post
13 часов назад, Sapsan932 сказал:

1. Пользователь открывает последний оставшийся с расширением Kaspersky Protection браузер  Mozilla Firefox, и напротив оф.сайта видит зелёный щит, клацнув по которому получает информацию, что по данным  KSN - сайт безопасный.

Не-а. Данный зеленый щит никак не может означать безопасность сайта. По сути своей, он означает лишь то, что кто-то когда-то проверил содержимое сайта, и не нашел на нем несоответствия заявленному содержимому (которое с тех пор могло многократно сменится, сайт мог поменять владельца, взломан и т.д.). А потому убрать этот щит можно и нужно, ибо он выполняет лишь пиар-деятельность, а-ля "у какого-то там условного симантика есть такой щиток, ну значит и у нас будет".

 

13 часов назад, Sapsan932 сказал:

При инсталляции программы центр уведомления выдаёт: "у программы обнаружено подозрительное поведение характерное для вредоносной программы" (а раньше через KTS  или при выборочной проверке нельзя было сообщить?

А раньше Вы ее не запускали, потому у нее никакого поведения не было. Это был просто файл на диске.

13 часов назад, Sapsan932 сказал:

KTS блокирует запуск программы, предлагая лечить с перезагрузкой, но при этом сама "удаляя вредоносную программу" до этого, лишая возможности загрузить найденный файл на проверку, скажем сюда: https://virusdesk.kaspersky.ru/.

Хомячкам и пушистым бабушкам около подъезда сие незачем. А те, кто умеют и знают, как засылать файлы в ЛК на проверку, сначала его скопируют, а потом оригинал дадут на удаление антивирусу.

13 часов назад, Sapsan932 сказал:

Собственно, что это такое детектирует - неясно. Неясно также, почему на одном ПК KTS19 даёт спокойно работать программе, а на других - тот же KTS19 даже не даёт её установить.

Потому что поведение программы при работе и ее установщика - разное.

 

Share this post


Link to post
3 часа назад, andrew75 сказал:

Sapsan932  Тот DTInstaller.exe, который вы скачиваете и проверяете разными способами, это web-установщик. И разумеется никакого вредоносного кода в нем нет.При его запуске, он скачивает дистрибутив программы во временную папку ... И уже при запуске инсталлятора, Касперский что-то в нем находит.


А я почему-то считал (сильно не вдаваясь в подробности, видимо, ошибочно), что существует гораздо более глубокий алгоритм, базирующийся на информации полученной через KSN, т.е., если Kaspersky  что-то обнаружил на этапе запуска инсталлятора, который запускается из скачанного  web-установщика, то 1) статистика об обнаружении отправляется в KSN, 2) включается алгоритм связи этих двух событий 3) и, как следствие, у сайта в браузере с расширением от ЛК меняется статус, 4) а у веб-загрузчика при выборочной проверке также может изменится статус с пометкой, скажем, что вредоносного кода он не содержит, но может, допустим, загрузить рекламу. (мне представляется это логичным, не думал, что алгоритма связи между этими событиями не существует). В web-установщике, понятно, вредоносного кода нет. Получается, как у Райкина: "к пуговицам претензий нет (с)" То, что бесплатная версия ПО содержит рекламу я это прочитал и согласен с этим, потому загрузил. Если Касперский считает рекламу не опасной - значит не нужно выводить уведомления о потенциальных троянах, мне так думается (проанализировать опасно или нет - статистика KSN от сотен тысяч людей в помощь). Получается, переоценил возможности Kaspersky: KSN статистику-то собирает, но ничего такого, что помогло бы пользователю превентивно получать до скачки файла или до запуска инсталлятора - не делает.

Сделал вывод, что Kaspersky Protection, а так же KSN для пользователя, а-ля превентивная мера, в принципе бесполезны. Ненужные действия (такие, как просмотр информации в KSN, выборочная проверка web-установщика и т.д.) можно зря не выполнять, расширение Kaspersky  из браузера удалить,  а от KSN без тени сомнения отключиться за ненадобностью. ) Спасибо за ответы.

Share this post


Link to post

Не совсем понял как статистика от пользователей может помочь в определении опасно или нет.

И ещё, KSN кое что для защиты делает и полностью его отключить не получиться.

Share this post


Link to post
2 часа назад, Sapsan932 сказал:

Если Касперский считает рекламу не опасной - значит не нужно выводить уведомления о потенциальных троянах

Активность мог проявить модуль, который никак не связан с рекламой.

2 часа назад, Sapsan932 сказал:

KSN статистику-то собирает, но ничего такого, что помогло бы пользователю превентивно получать до скачки файла или до запуска инсталлятора - не делает.

И не может сделать до тех пор, покуда не появится активность скачанного ПО.

Share this post


Link to post
9 часов назад, Drru сказал:

Не совсем понял как статистика от пользователей может помочь в определении опасно или нет.

Речь не о статистике данных пользователя, а о статистике детектов/обнаружения. К примеру, неизвестный до этого, новый  вирус... Сперва же, наверняка, приходит масса статистических данных о подозрительном поведении и т.п. (собирается статистика от пользователей, в т.ч. подключенных к KSN), обратили внимание, затем статистические данные проанализировали, определили, что опасно, создали решение, включили в базы.  ЛК весьма льстит публиковать регулярно свои статистические выкладки и баннеры, сколько опасных вещей предотвращено и обезврежено... Сие есть статистические данные собранные от пользователей. Суть сбора статистики в том, чтобы собрать информацию с целью проанализировать - опасно это или нет. Обычно так делается.

Share this post


Link to post

Sapsan932  Maratka интересно, почему в Kaspersky Security Network всегда около 5000000 участников, хотя сама Лаборатория Касперского защищает намного больше устройств? Это сбой в Kaspersky Security Network и он неверно отображает список участников?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.