Sapsan932 Posted March 25 (edited) Добрый день. Аналогичная ситуация, как в этой ветке https://forum.kaspersky.com/index.php?/topic/367423-pdmtrojanwin32generic-решено/& для корпоративных пользователей, только для домашних. Обнаруживает PDM:Trojan.Win32.Generic. KTS 19.0.0.1088(d). Программа DTLite. Заражение или ложный детект (поди разбери что это) происходит следующим образом: 1. Пользователь открывает последний оставшийся с расширением Kaspersky Protection браузер Mozilla Firefox, и напротив оф.сайта видит зелёный щит, клацнув по которому получает информацию, что по данным KSN - сайт безопасный. 2. Смело скачав .exe файл (при загрузке - KTS не ругается), нажимает ПКМ на "просмотреть инф-ию в KSN" - и там видит, что программа Daemoon Tools Lite Installer - доверенная, сертификат Disk Soft Ltd и более 100 000 пользователей (подключённых к KSN) её использовали. 3. Отлично, но на всякий случай запускает выборочную проверку данного инстальника и получает результат: "безопасно, угроз не обнаружено". Т.к. ЛК сообщила, что всё чисто, смело запускаем установщик, всё идёт отлично, установка почти завершена, и тут - бац! Троян! Или просто потенциально нежелательная - неясно. При инсталляции программы центр уведомления выдаёт: "у программы обнаружено подозрительное поведение характерное для вредоносной программы" (а раньше через KTS или при выборочной проверке нельзя было сообщить? Зачем они тогда?), KTS блокирует запуск программы, предлагая лечить с перезагрузкой, но при этом сама "удаляя вредоносную программу" до этого, лишая возможности загрузить найденный файл на проверку, скажем сюда: https://virusdesk.kaspersky.ru/. Нажимая затем на "лечить с перезагрузкой" начинаются зависания - лечение активного заражения, затем перезагрузка, запускается автоматом "модуль восстановление после заражения", а затем без спроса запускается "полная проверка". Проверялось (попытка установки программы) на нескольких компьютерах с Win 10 x32 1709, с Win 10 1809 x64 и т.д., поведение везде аналогичное за исключением машин, где DTLite была установлена ранее. Находим ноут, где стоят: KTS 19.0.0.1088(d), DTLite и аналогичная Win 10 1809 x64 ( DTLite была на нем установлена на 2 с половиной месяца ранее: 11.01.2019)... И замечаем, что на этой машине KTS 19.0.0.1088(d) не ругается на DTLite, программа работает нормально и никакого PDM:Trojan.Win32.Generic не находится. Проверил список исключений KTS - там этой программы нет, список исключений вообще пуст. То, что KTS не даёт установить нужную программу, которая ранее установлена и вполне себе работает на другом аппарате с KTS - печально. Начинаем прослеживать что за файл и куда что устанавливается. При установке DTLite путь сохранения автоматом такой: C /Programm Files/ Daemoon Tools Lite. Однако, найденный "троян" обнаруживается в С\Пользователи\юзер\AppData\Local\Temp\DT_INSTALL_TMP\DTinstaller.exe (данный файл вылечивает). Удаляет такие два объекта: ...AppData\Local\Temp\DTLite10100-0797.exe и ...AppData\Local\Temp\DT_INSTALL_TMP\DTInstaller.exe//data0088.res//Fusion.dll Если после всех лечащих манипуляций проделанных KTS запустить, скажем, автопоиск проблем в реестре с помощью CCleaner, то там покажет в разделе реестра HKLM\Software\Microsoft\Windows\CurrrentVersion\Uninstall\Daemoon Tools Lite - ошибку удаления приложения C:\Programm Files\Daemon Tools Lite\uninstal.exe Собственно, что это такое детектирует - неясно. Неясно также, почему на одном ПК KTS19 даёт спокойно работать программе, а на других - тот же KTS19 даже не даёт её установить. Но предельно ясно одно, что пользователю самодеятельность KTS доставляет неудобства вызывая беспокойство, не отвечая при этом не вопрос и не давая ясности: если действительно троян залазит при установке файла - почему тогда KSN пишет, что сайт безопасный, а выборочная проверка даёт, что угроз не обнаружено, а если это ложный детект, до почему его до сих пор не пофиксили (при том, что более 100 000 человек уже использовали, а сообщения про это уже четвёртый год). Кто-то может сказать что-то определённое? Если в KTS при обнаружении PDM:Trojan.Win32.Generic клацнуть на детальную инфу, то откроется справка ЛК: Downloader, Riskware, осуществляют в скрытом режиме загрузку различного контента с сетевых ресурсов. Вредоносными не являются. Такие программы могут использоваться злоумышленниками для загрузки вредоносного контента на компьютер-жертву. Если такая программа установлена на вашем компьютере вами или вашим сетевым администратором, никакой опасности она не представляет. Т.е., т.к. она установлена мной, никакой опасности она не представляет, её нужно добавлять в исключения? Или не нужно, т.к. опасность всё же представляет? Edited March 25 by Sapsan932 Share this post Link to post
andrew75 Posted March 26 Sapsan932 Тот DTInstaller.exe, который вы скачиваете и проверяете разными способами, это web-установщик. И разумеется никакого вредоносного кода в нем нет. При его запуске, он скачивает дистрибутив программы во временную папку ( ..AppData\Local\Temp\DT_INSTALL_TMP ) И уже при запуске инсталлятора, Касперский что-то в нем находит. С большой долей вероятности, Fusion.dll часть какой-то рекламной программы (на сайте программы кстати предупреждается, что в бесплатной версии присутствует реклама). За подробностями вам лучше обратиться в техподдержку. Share this post Link to post
Maratka Posted March 26 13 часов назад, Sapsan932 сказал: 1. Пользователь открывает последний оставшийся с расширением Kaspersky Protection браузер Mozilla Firefox, и напротив оф.сайта видит зелёный щит, клацнув по которому получает информацию, что по данным KSN - сайт безопасный. Не-а. Данный зеленый щит никак не может означать безопасность сайта. По сути своей, он означает лишь то, что кто-то когда-то проверил содержимое сайта, и не нашел на нем несоответствия заявленному содержимому (которое с тех пор могло многократно сменится, сайт мог поменять владельца, взломан и т.д.). А потому убрать этот щит можно и нужно, ибо он выполняет лишь пиар-деятельность, а-ля "у какого-то там условного симантика есть такой щиток, ну значит и у нас будет". 13 часов назад, Sapsan932 сказал: При инсталляции программы центр уведомления выдаёт: "у программы обнаружено подозрительное поведение характерное для вредоносной программы" (а раньше через KTS или при выборочной проверке нельзя было сообщить? А раньше Вы ее не запускали, потому у нее никакого поведения не было. Это был просто файл на диске. 13 часов назад, Sapsan932 сказал: KTS блокирует запуск программы, предлагая лечить с перезагрузкой, но при этом сама "удаляя вредоносную программу" до этого, лишая возможности загрузить найденный файл на проверку, скажем сюда: https://virusdesk.kaspersky.ru/. Хомячкам и пушистым бабушкам около подъезда сие незачем. А те, кто умеют и знают, как засылать файлы в ЛК на проверку, сначала его скопируют, а потом оригинал дадут на удаление антивирусу. 13 часов назад, Sapsan932 сказал: Собственно, что это такое детектирует - неясно. Неясно также, почему на одном ПК KTS19 даёт спокойно работать программе, а на других - тот же KTS19 даже не даёт её установить. Потому что поведение программы при работе и ее установщика - разное. Share this post Link to post
Sapsan932 Posted March 26 3 часа назад, andrew75 сказал: Sapsan932 Тот DTInstaller.exe, который вы скачиваете и проверяете разными способами, это web-установщик. И разумеется никакого вредоносного кода в нем нет.При его запуске, он скачивает дистрибутив программы во временную папку ... И уже при запуске инсталлятора, Касперский что-то в нем находит. А я почему-то считал (сильно не вдаваясь в подробности, видимо, ошибочно), что существует гораздо более глубокий алгоритм, базирующийся на информации полученной через KSN, т.е., если Kaspersky что-то обнаружил на этапе запуска инсталлятора, который запускается из скачанного web-установщика, то 1) статистика об обнаружении отправляется в KSN, 2) включается алгоритм связи этих двух событий 3) и, как следствие, у сайта в браузере с расширением от ЛК меняется статус, 4) а у веб-загрузчика при выборочной проверке также может изменится статус с пометкой, скажем, что вредоносного кода он не содержит, но может, допустим, загрузить рекламу. (мне представляется это логичным, не думал, что алгоритма связи между этими событиями не существует). В web-установщике, понятно, вредоносного кода нет. Получается, как у Райкина: "к пуговицам претензий нет (с)" То, что бесплатная версия ПО содержит рекламу я это прочитал и согласен с этим, потому загрузил. Если Касперский считает рекламу не опасной - значит не нужно выводить уведомления о потенциальных троянах, мне так думается (проанализировать опасно или нет - статистика KSN от сотен тысяч людей в помощь). Получается, переоценил возможности Kaspersky: KSN статистику-то собирает, но ничего такого, что помогло бы пользователю превентивно получать до скачки файла или до запуска инсталлятора - не делает. Сделал вывод, что Kaspersky Protection, а так же KSN для пользователя, а-ля превентивная мера, в принципе бесполезны. Ненужные действия (такие, как просмотр информации в KSN, выборочная проверка web-установщика и т.д.) можно зря не выполнять, расширение Kaspersky из браузера удалить, а от KSN без тени сомнения отключиться за ненадобностью. ) Спасибо за ответы. Share this post Link to post
Drru Posted March 26 Не совсем понял как статистика от пользователей может помочь в определении опасно или нет. И ещё, KSN кое что для защиты делает и полностью его отключить не получиться. Share this post Link to post
Maratka Posted March 26 2 часа назад, Sapsan932 сказал: Если Касперский считает рекламу не опасной - значит не нужно выводить уведомления о потенциальных троянах Активность мог проявить модуль, который никак не связан с рекламой. 2 часа назад, Sapsan932 сказал: KSN статистику-то собирает, но ничего такого, что помогло бы пользователю превентивно получать до скачки файла или до запуска инсталлятора - не делает. И не может сделать до тех пор, покуда не появится активность скачанного ПО. Share this post Link to post
Sapsan932 Posted March 27 9 часов назад, Drru сказал: Не совсем понял как статистика от пользователей может помочь в определении опасно или нет. Речь не о статистике данных пользователя, а о статистике детектов/обнаружения. К примеру, неизвестный до этого, новый вирус... Сперва же, наверняка, приходит масса статистических данных о подозрительном поведении и т.п. (собирается статистика от пользователей, в т.ч. подключенных к KSN), обратили внимание, затем статистические данные проанализировали, определили, что опасно, создали решение, включили в базы. ЛК весьма льстит публиковать регулярно свои статистические выкладки и баннеры, сколько опасных вещей предотвращено и обезврежено... Сие есть статистические данные собранные от пользователей. Суть сбора статистики в том, чтобы собрать информацию с целью проанализировать - опасно это или нет. Обычно так делается. Share this post Link to post
ANGElDRAGON Posted March 27 Sapsan932 Maratka интересно, почему в Kaspersky Security Network всегда около 5000000 участников, хотя сама Лаборатория Касперского защищает намного больше устройств? Это сбой в Kaspersky Security Network и он неверно отображает список участников? Share this post Link to post