антивирус Kaspersky Standard 21.18.5.438 находит троян в программе seed4me-vpn-1.1.0 скачанной с официального сайта

[serkor]

Здравствуйте, было установлено приложение версии seed4me-vpn-1.0.84, оно предложило обновиться до версии seed4me-vpn-1.1.0. Я обновился, приложение установилось и запустилось без проблем. Но когда нажимаю кнопку "подключить" антивирус Kaspersky Standard 21.18.5.438 начинает писать, что "в приложении обнаружен троян и предлагает лечить с перезагрузкой".  Приложение скачанное с сайта также при нажатии кнопки "подключить" антивирус ругается на троян. Приложение имеет действительные цифровые подписи, на virus total всё по 0, если проверить программу  антивирусом Kaspersky Standard 21.18.5.438 он не чего не находит. Windows 11 23H2. Что можете посоветовать? Безопасна ли программа на самом деле. Жду ответа.

[Лексей]

А что за кнопка "подключить антивирус"?

Впервые о такой слышу.

И-сначала антивирус-то есть Касперский-  "ругается на троян"

а потом-он же-"ничего не находит"-вот как это?

Ну а так-я бы сделал что велит антивирус-судя по всему можно вылечить-

и трояна (минимого или дейсвительного)не будет и обнова будет

[andrew75]

@serkor, это было ложное срабатывание. Детект уже сняли.

  On 9/23/2024 at 3:48 AM, Лексей said:

"ругается на троян"
а потом-он же-"ничего не находит"-вот как это?

Expand  

это значит, что антивирус ругается не на сам файл, ему кажется подозрительным его поведение. То есть срабатывает мониторинг активности.
И по инструкции нужно действовать так - https://support.kaspersky.ru/common/diagnostics/15898
Для начала можно также проверить файл на Opentip

[AlexeyK]

 

  On 9/22/2024 at 10:42 PM, serkor said:

Что можете посоветовать? Безопасна ли программа на самом деле. Жду ответа.

Expand  

Срабатывание еще есть, хоть на opentip детекта не показывает. Программа доверенная по цифровой подписи, а значит идет в группу слабых ограничений (скрины). Такие детекты зачастую бывают с новыми версиями файлов, если разработчик не участвует в программе Allowlist. Когда эту версию сделают доверенной по KSN, тогда срабатываний не будет. Либо добавьте в исключения, либо обращайтесь в ТП, ссылка на инструкцию в посте @andrew75 выше.

  Reveal hidden contents

 

[serkor]

  On 9/23/2024 at 7:07 AM, AlexeyK said:

Когда эту версию сделают доверенной по KSN, тогда срабатываний не будет.

Expand  

То есть это произойдёт автоматически? Тогда я подожду просто. Тем более программе я доверяю, да и производитель приложения прислал сегодня письмо, что "Здравствуйте!
Спасибо за обращение в службу поддержки.

Спасибо за ваше сообщение. Мы проверили версию приложения 1.1.0 и можем подтвердить, что оно не содержит вредоносного контента. Сообщение от антивируса может быть связано с тем, что один из наших IP-адресов был отмечен как подозрительный из-за возможного неправильного использования. Мы расследуем этот вопрос. Также рекомендуем обновить ваш антивирус до последней версии — это может решить проблему.

Вы можете проверить наше приложение на VirusTotal, который использует базы данных нескольких антивирусов, по следующей ссылке:
https://www.virustotal.com/gui/file/81069bbf73bea557d768ffd0084a0465b400730c3b2704bce60339c922a316d0

Если проблема сохраняется, рекомендуем добавить следующие файлы и папки в исключения вашего антивируса/брандмауэра:

C:\Program Files\Seed4.Me VPN
C:\Program Files\Seed4.Me VPN\bin\Seed4.Me_service.exe
C:\Program Files\Seed4.Me VPN\bin\Seed4.Me_VPN.exe"

Сегодня пользовался данным приложением, антивирус не ругался пока.

[AlexeyK]

  On 9/23/2024 at 8:13 PM, serkor said:

То есть это произойдёт автоматически?

Expand  

Возможны варианты, но, учитывая довольно большую популярность программы, скорее всего со временем исправят и без вашего участия. Может и не исправят, а выпустят новую версию программы и детекта не будет. Может эту исправят, а на новой версии опять будет детект.

А им надо не столько "расследовать этот вопрос" (хотя это не помешает), сколько участвовать в Allowlist, если они так уверены в полной безопасности продукта.

Эх, все хотят, чтоб всё работало как надо, но прилагать усилия для исправления не хотят.)) Пока детект не отключен (скрин).

  Reveal hidden contents

 

Edited September 23, 2024 by AlexeyK

[serkor]

  On 9/23/2024 at 8:53 PM, AlexeyK said:

Пока детект не отключен (скрин).

Expand  

Спасибо Вам за столь исчерпывающий ответ. У меня если после установки и первого запуска нажать в программе "kaspersky" "разрешить один раз", то больше окно с "подозрительным поведением" не появляется.

[AlexeyK]

  On 9/23/2024 at 9:03 PM, serkor said:

"разрешить один раз", то больше окно с "подозрительным поведением" не появляется.

Expand  

Это фактически временное внесение в исключения. Я не особенно досконально изучал, но, судя по трею, программа постоянно запущена плюс еще есть служба. Думаю, что если перезагрузить ОС, то будет снова детект. Добавьте лучше в исключения для компонента Мониторинг активности, как рекомендовали разработчики.

Для примера на скринах файл старой и новой версий - старая доверенная по KSN, а новая только по подписи.

  Reveal hidden contents

 

[serkor]

  On 9/23/2024 at 9:11 PM, AlexeyK said:

Думаю, что если перезагрузить ОС, то будет снова детект.

Expand  

Специально перезагружал несколько раз, детекта не было. Но если антивирус снова начнёт "доставать" сообщениями, то воспользуюсь Вашими советами и советами разработчика, добавлю в исключения для компонента Мониторинг активности.

[AlexeyK]

  On 9/23/2024 at 9:16 PM, serkor said:

перезагружал несколько раз, детекта не было.

Expand  

Это странно, однако.) Либо это баг, либо первичное подключение отличается по поведению от последующих. И срабатывает только на первое подключение. Ну да ладно, главное, что не мешает срабатываниями.

[Maratka]

Что же тут странного, учитывая что детект идёт на дистрибутив?

[AlexeyK]

  On 9/23/2024 at 10:07 PM, Maratka said:

Что же тут странного, учитывая что детект идёт на дистрибутив?

Expand  

Только вот этот детект идет при первой попытке подключения через уже установленное приложение, а не при собственно запуске установки.

[AlexeyK]

Проверил подробнее - стало еще более непонятно. После первой попытки подключения срабатывает на файл установщика, который, кстати, не запущен в тот момент и не запускается при разрешении в балуне (скрин 1). Заново установил, переместил этот файл установщика в другую папку Downloads - все равно есть детект на этот файл, хотя он ни разу и не запускался (скрин 2). Но окончательно моя логика разрушилась тогда, когда я удалил этот файл с рабочего стола без перемещения в корзину, а детект все равно был на файл по тому же пути (скрин 3). Ну и от детекта помогло добавление папки программы в Program Files в исключения МА (файл установщика не добавлялся), после этого срабатываний нет. Как тебе такое, Илон Маск?©?

  Reveal hidden contents

 

Edited September 24, 2024 by AlexeyK

[Friend]

  On 9/24/2024 at 6:56 AM, AlexeyK said:

Проверил подробнее - стало еще более непонятно.

Expand  

Это возможно баг, который очень очень редко воспроизводится и решается переустановкой.
А в целом по ситуации чуть выше решение написал @andrew75 - это обращение в поддержку с необходимыми отчетами: https://support.kaspersky.ru/common/diagnostics/15898

[AlexeyK]

  On 9/24/2024 at 7:34 AM, Friend said:

очень очень редко воспроизводится и решается переустановкой

Expand  

То есть нам двоим вместе с ТС нужно переустановить продукт или баг только у меня на неделю назад установленном продукте? ?

[Friend]

  On 9/24/2024 at 8:02 AM, AlexeyK said:

баг только у меня на неделю назад установленном продукте

Expand  

На баг это не влияет.

  On 9/24/2024 at 8:02 AM, AlexeyK said:

нам двоим вместе с ТС

Expand  

Неа, у ТС уже все нормально:

  On 9/23/2024 at 9:16 PM, serkor said:

Специально перезагружал несколько раз, детекта не было

Expand  

  On 9/23/2024 at 9:03 PM, serkor said:

У меня если после установки и первого запуска нажать в программе "kaspersky" "разрешить один раз", то больше окно с "подозрительным поведением" не появляется.

Expand  

 

[AlexeyK]

@Friend Вы не очень поняли воспроизведение. Я проверил на другом снимке виртуалки - точно такой же результат. И воспроизводится однократно, при первом подключении. Выше уже обсуждали, у меня то же самое. И у ТС тоже в балуне детект установщика, который не запущен и не пытается запускаться.

Edited September 24, 2024 by AlexeyK

[andrew75]

Я собственно не понимаю, что вы до сих пор обсуждаете )

У ТС уже все нормально и он счастлив. Других жалоб не было.

Хотите решить проблему кардинально, велком в ТП )

[AlexeyK]

  On 9/24/2024 at 8:26 AM, andrew75 said:

Хотите решить проблему кардинально, велком в ТП )

Expand  

Я просто описал поведение продукта в ответ @Maratka. Уже спросил на бета-форуме, есть ли смысл изучать это явление подробнее.

  On 9/24/2024 at 8:26 AM, andrew75 said:

Я собственно не понимаю, что вы до сих пор обсуждаете )

Expand  

И я тоже не понимаю, для чего мне рекомендовать обращаться в ТП. Во-первых, я не спрашивал рекомендаций, а во-вторых я и сам в курсе (и вы все тоже об этом знаете), как можно поступить. Но @Friend для чего-то очередной раз без устали рекомендует, что делать и куда идти. ?

Edited September 24, 2024 by AlexeyK

[Maratka]

  On 9/24/2024 at 6:06 AM, AlexeyK said:

Только вот этот детект идет при первой попытке подключения через уже установленное приложение, а не при собственно запуске установки.

Expand  

Это обычная кумулятивная активность, SW копит данные на всю последовательность запуска, и выдаёт детект на её инициатора.

[AlexeyK]

  On 9/24/2024 at 9:11 AM, Maratka said:

Это обычная кумулятивная активность, SW копит данные на всю последовательность запуска, и выдаёт детект на её инициатора.

Expand  

Понимаю, что это цепочка действий и запусков, только выглядит это в итоге неправильно: предлагается выбрать действие (закрыть, разрешить, разрешить и исключить) с незапущенным приложением. Второе - детекта файла установленного приложения нет, а ведь срабатывает только после его активности. Это подтверждается тем, что при внесении в исключения детекта не наступает. Где же тогда детект этого запущенного файла, почему только изначальный детектирован? Ну и третье - детект отсутствующего файла: HIPS видит, что его нет, а МА выдает алерт.

Edited September 24, 2024 by AlexeyK

[Maratka]

А выберите действия по умолчанию, посмотрите что станет с установленным VPN клиентом после отката активности

[AlexeyK]

  On 9/24/2024 at 9:52 AM, Maratka said:

А выберите действия по умолчанию, посмотрите что станет с установленным VPN клиентом после отката активности

Expand  

Вы правы, всё зачищается в процессе лечения с ребутом (скрин), даже в случае предварительного удаления установщика. В принципе, это основной вопрос был. Другое дело, что если выбрать закрыть приложение - ничего не закрывается, т.к. оно и не было запущено. А если добавить в исключения - добавляется только файл установщика. Но в любом случае - спасибо за разъяснение работы компонента в данном случае!

  Reveal hidden contents

 

[Maratka]

  On 9/24/2024 at 10:43 AM, AlexeyK said:

Другое дело, что если выбрать закрыть приложение - ничего не закрывается, т.к. оно и не было запущено.

Expand  

Это мелкий дефект, разделить алерт на два, в зависимости от активности родительского процесса можно конечно, другое дело, что приоритет там даже не третий, а вообще ниже плинтуса.

[AlexeyK]

  On 9/24/2024 at 11:36 AM, Maratka said:

Это мелкий дефект, разделить алерт на два, в зависимости от активности родительского процесса можно конечно, другое дело, что приоритет там даже не третий, а вообще ниже плинтуса.

Expand  

Ну не знаю, пользователь думает, что завершил работу вредоносного ПО, а ничего подобного. И вся работа МА насмарку. Или разрешил однократно - а по факту вообще вся цепочка действий потерялась. Ну разработчикам, конечно, виднее, как обычно.