PDM:Trojan.Win32.Generic KTS19

[Sapsan932]

Добрый день. Аналогичная ситуация, как в этой ветке https://forum.kaspersky.com/index.php?/topic/367423-pdmtrojanwin32generic-решено/&  для корпоративных пользователей, только для домашних. Обнаруживает PDM:Trojan.Win32.Generic. KTS 19.0.0.1088(d). Программа DTLite.

Заражение или ложный детект (поди разбери что это) происходит следующим образом:
1. Пользователь открывает последний оставшийся с расширением Kaspersky Protection браузер  Mozilla Firefox, и напротив оф.сайта видит зелёный щит, клацнув по которому получает информацию, что по данным  KSN - сайт безопасный.
2. Смело скачав .exe файл (при загрузке - KTS не ругается), нажимает ПКМ на "просмотреть инф-ию в KSN" - и там видит, что программа Daemoon Tools Lite Installer - доверенная, сертификат Disk Soft Ltd и более 100 000 пользователей (подключённых к KSN) её использовали.
3. Отлично, но на всякий случай запускает выборочную проверку данного инстальника и получает результат: "безопасно, угроз не обнаружено".

Т.к. ЛК сообщила, что всё чисто, смело запускаем установщик, всё идёт отлично, установка почти завершена, и тут - бац!  Троян! Или просто потенциально нежелательная - неясно.  При инсталляции программы центр уведомления выдаёт: "у программы обнаружено подозрительное поведение характерное для вредоносной программы" (а раньше через KTS  или при выборочной проверке нельзя было сообщить? Зачем они тогда?), KTS блокирует запуск программы, предлагая лечить с перезагрузкой, но при этом сама "удаляя вредоносную программу" до этого, лишая возможности загрузить найденный файл на проверку, скажем сюда: https://virusdesk.kaspersky.ru/. Нажимая затем на "лечить с перезагрузкой" начинаются зависания - лечение активного заражения, затем перезагрузка, запускается автоматом "модуль восстановление после заражения", а затем без спроса запускается "полная проверка".

Проверялось (попытка установки программы) на нескольких компьютерах с Win 10 x32 1709, с  Win 10 1809 x64 и т.д., поведение везде аналогичное за исключением машин, где DTLite была установлена ранее.  Находим ноут, где стоят: KTS 19.0.0.1088(d), DTLite и аналогичная Win 10 1809 x64 ( DTLite  была на нем установлена на 2 с половиной месяца ранее: 11.01.2019)... И замечаем, что на этой машине KTS 19.0.0.1088(d) не ругается на DTLite, программа работает нормально и никакого PDM:Trojan.Win32.Generic не находится. Проверил список исключений KTS - там этой программы нет, список исключений вообще пуст. То, что KTS не даёт установить нужную программу, которая ранее установлена и вполне себе работает на другом аппарате с KTS - печально. Начинаем прослеживать что за файл и куда что устанавливается. При установке DTLite путь сохранения автоматом такой: C /Programm Files/ Daemoon Tools Lite. Однако, найденный "троян" обнаруживается в  С\Пользователи\юзер\AppData\Local\Temp\DT_INSTALL_TMP\DTinstaller.exe (данный файл вылечивает). Удаляет такие два объекта:  ...AppData\Local\Temp\DTLite10100-0797.exe  и ...AppData\Local\Temp\DT_INSTALL_TMP\DTInstaller.exe//data0088.res//Fusion.dll  Если после всех лечащих манипуляций проделанных KTS запустить, скажем, автопоиск проблем в реестре с помощью CCleaner, то там покажет в разделе реестра HKLM\Software\Microsoft\Windows\CurrrentVersion\Uninstall\Daemoon Tools Lite - ошибку удаления приложения C:\Programm Files\Daemon Tools Lite\uninstal.exe

Собственно, что это такое детектирует - неясно. Неясно также, почему на одном ПК KTS19 даёт спокойно работать программе, а на других - тот же KTS19 даже не даёт её установить. Но предельно ясно одно, что пользователю самодеятельность KTS доставляет неудобства вызывая беспокойство, не отвечая при этом не вопрос и не давая ясности: если действительно троян залазит при установке файла - почему тогда KSN пишет, что сайт безопасный, а выборочная проверка даёт, что угроз не обнаружено, а если это ложный детект, до почему его до сих пор не пофиксили (при том, что более 100 000 человек уже использовали, а сообщения про это уже четвёртый год). Кто-то может сказать что-то определённое? Если в  KTS при обнаружении PDM:Trojan.Win32.Generic клацнуть на детальную инфу, то откроется справка ЛК:  Downloader, Riskware, осуществляют в скрытом режиме загрузку различного контента с сетевых ресурсов. Вредоносными не являются. Такие программы могут использоваться злоумышленниками для загрузки вредоносного контента на компьютер-жертву. Если такая программа установлена на вашем компьютере вами или вашим сетевым администратором, никакой опасности она не представляет. Т.е., т.к. она установлена мной, никакой опасности она не представляет, её нужно добавлять в исключения? Или не нужно, т.к. опасность всё же представляет?

 

 

Edited March 25 by Sapsan932

[andrew75]

Sapsan932  Тот DTInstaller.exe, который вы скачиваете и проверяете разными способами, это web-установщик. И разумеется никакого вредоносного кода в нем нет.

При его запуске, он скачивает дистрибутив программы во временную папку ( ..AppData\Local\Temp\DT_INSTALL_TMP ) И уже при запуске инсталлятора, Касперский что-то в нем находит. С большой долей вероятности, Fusion.dll  часть какой-то рекламной программы (на сайте программы кстати предупреждается, что в бесплатной версии присутствует реклама).

За подробностями вам лучше обратиться в техподдержку.

[Maratka]

13 часов назад, Sapsan932 сказал:

1. Пользователь открывает последний оставшийся с расширением Kaspersky Protection браузер  Mozilla Firefox, и напротив оф.сайта видит зелёный щит, клацнув по которому получает информацию, что по данным  KSN - сайт безопасный.

Не-а. Данный зеленый щит никак не может означать безопасность сайта. По сути своей, он означает лишь то, что кто-то когда-то проверил содержимое сайта, и не нашел на нем несоответствия заявленному содержимому (которое с тех пор могло многократно сменится, сайт мог поменять владельца, взломан и т.д.). А потому убрать этот щит можно и нужно, ибо он выполняет лишь пиар-деятельность, а-ля "у какого-то там условного симантика есть такой щиток, ну значит и у нас будет".

 

13 часов назад, Sapsan932 сказал:

При инсталляции программы центр уведомления выдаёт: "у программы обнаружено подозрительное поведение характерное для вредоносной программы" (а раньше через KTS  или при выборочной проверке нельзя было сообщить?

А раньше Вы ее не запускали, потому у нее никакого поведения не было. Это был просто файл на диске.

13 часов назад, Sapsan932 сказал:

KTS блокирует запуск программы, предлагая лечить с перезагрузкой, но при этом сама "удаляя вредоносную программу" до этого, лишая возможности загрузить найденный файл на проверку, скажем сюда: https://virusdesk.kaspersky.ru/.

Хомячкам и пушистым бабушкам около подъезда сие незачем. А те, кто умеют и знают, как засылать файлы в ЛК на проверку, сначала его скопируют, а потом оригинал дадут на удаление антивирусу.

13 часов назад, Sapsan932 сказал:

Собственно, что это такое детектирует - неясно. Неясно также, почему на одном ПК KTS19 даёт спокойно работать программе, а на других - тот же KTS19 даже не даёт её установить.

Потому что поведение программы при работе и ее установщика - разное.

 

[Sapsan932]

3 часа назад, andrew75 сказал:

Sapsan932  Тот DTInstaller.exe, который вы скачиваете и проверяете разными способами, это web-установщик. И разумеется никакого вредоносного кода в нем нет.При его запуске, он скачивает дистрибутив программы во временную папку ... И уже при запуске инсталлятора, Касперский что-то в нем находит.

А я почему-то считал (сильно не вдаваясь в подробности, видимо, ошибочно), что существует гораздо более глубокий алгоритм, базирующийся на информации полученной через KSN, т.е., если Kaspersky  что-то обнаружил на этапе запуска инсталлятора, который запускается из скачанного  web-установщика, то 1) статистика об обнаружении отправляется в KSN, 2) включается алгоритм связи этих двух событий 3) и, как следствие, у сайта в браузере с расширением от ЛК меняется статус, 4) а у веб-загрузчика при выборочной проверке также может изменится статус с пометкой, скажем, что вредоносного кода он не содержит, но может, допустим, загрузить рекламу. (мне представляется это логичным, не думал, что алгоритма связи между этими событиями не существует). В web-установщике, понятно, вредоносного кода нет. Получается, как у Райкина: "к пуговицам претензий нет (с)" То, что бесплатная версия ПО содержит рекламу я это прочитал и согласен с этим, потому загрузил. Если Касперский считает рекламу не опасной - значит не нужно выводить уведомления о потенциальных троянах, мне так думается (проанализировать опасно или нет - статистика KSN от сотен тысяч людей в помощь). Получается, переоценил возможности Kaspersky: KSN статистику-то собирает, но ничего такого, что помогло бы пользователю превентивно получать до скачки файла или до запуска инсталлятора - не делает.

Сделал вывод, что Kaspersky Protection, а так же KSN для пользователя, а-ля превентивная мера, в принципе бесполезны. Ненужные действия (такие, как просмотр информации в KSN, выборочная проверка web-установщика и т.д.) можно зря не выполнять, расширение Kaspersky  из браузера удалить,  а от KSN без тени сомнения отключиться за ненадобностью. ) Спасибо за ответы.

[Drru]

Не совсем понял как статистика от пользователей может помочь в определении опасно или нет.

И ещё, KSN кое что для защиты делает и полностью его отключить не получиться.

[Maratka]

2 часа назад, Sapsan932 сказал:

Если Касперский считает рекламу не опасной - значит не нужно выводить уведомления о потенциальных троянах

Активность мог проявить модуль, который никак не связан с рекламой.

2 часа назад, Sapsan932 сказал:

KSN статистику-то собирает, но ничего такого, что помогло бы пользователю превентивно получать до скачки файла или до запуска инсталлятора - не делает.

И не может сделать до тех пор, покуда не появится активность скачанного ПО.

[Sapsan932]

9 часов назад, Drru сказал:

Не совсем понял как статистика от пользователей может помочь в определении опасно или нет.

Речь не о статистике данных пользователя, а о статистике детектов/обнаружения. К примеру, неизвестный до этого, новый  вирус... Сперва же, наверняка, приходит масса статистических данных о подозрительном поведении и т.п. (собирается статистика от пользователей, в т.ч. подключенных к KSN), обратили внимание, затем статистические данные проанализировали, определили, что опасно, создали решение, включили в базы.  ЛК весьма льстит публиковать регулярно свои статистические выкладки и баннеры, сколько опасных вещей предотвращено и обезврежено... Сие есть статистические данные собранные от пользователей. Суть сбора статистики в том, чтобы собрать информацию с целью проанализировать - опасно это или нет. Обычно так делается.

[ANGElDRAGON]

Sapsan932  Maratka интересно, почему в Kaspersky Security Network всегда около 5000000 участников, хотя сама Лаборатория Касперского защищает намного больше устройств? Это сбой в Kaspersky Security Network и он неверно отображает список участников?