антивирус Kaspersky Standard 21.18.5.438 находит троян в программе seed4me-vpn-1.1.0 скачанной с официального сайта

[serkor]

Здравствуйте, было установлено приложение версии seed4me-vpn-1.0.84, оно предложило обновиться до версии seed4me-vpn-1.1.0. Я обновился, приложение установилось и запустилось без проблем. Но когда нажимаю кнопку "подключить" антивирус Kaspersky Standard 21.18.5.438 начинает писать, что "в приложении обнаружен троян и предлагает лечить с перезагрузкой".  Приложение скачанное с сайта также при нажатии кнопки "подключить" антивирус ругается на троян. Приложение имеет действительные цифровые подписи, на virus total всё по 0, если проверить программу  антивирусом Kaspersky Standard 21.18.5.438 он не чего не находит. Windows 11 23H2. Что можете посоветовать? Безопасна ли программа на самом деле. Жду ответа.

[Лексей]

А что за кнопка "подключить антивирус"?

Впервые о такой слышу.

И-сначала антивирус-то есть Касперский-  "ругается на троян"

а потом-он же-"ничего не находит"-вот как это?

Ну а так-я бы сделал что велит антивирус-судя по всему можно вылечить-

и трояна (минимого или дейсвительного)не будет и обнова будет

[andrew75]

@serkor, это было ложное срабатывание. Детект уже сняли.

4 часа назад, Лексей сказал:

"ругается на троян"
а потом-он же-"ничего не находит"-вот как это?

это значит, что антивирус ругается не на сам файл, ему кажется подозрительным его поведение. То есть срабатывает мониторинг активности.
И по инструкции нужно действовать так - https://support.kaspersky.ru/common/diagnostics/15898
Для начала можно также проверить файл на Opentip

[AlexeyK]

 

8 часов назад, serkor сказал:

Что можете посоветовать? Безопасна ли программа на самом деле. Жду ответа.

Срабатывание еще есть, хоть на opentip детекта не показывает. Программа доверенная по цифровой подписи, а значит идет в группу слабых ограничений (скрины). Такие детекты зачастую бывают с новыми версиями файлов, если разработчик не участвует в программе Allowlist. Когда эту версию сделают доверенной по KSN, тогда срабатываний не будет. Либо добавьте в исключения, либо обращайтесь в ТП, ссылка на инструкцию в посте @andrew75 выше.

Спойлер

 

[serkor]

12 часов назад, AlexeyK сказал:

Когда эту версию сделают доверенной по KSN, тогда срабатываний не будет.

То есть это произойдёт автоматически? Тогда я подожду просто. Тем более программе я доверяю, да и производитель приложения прислал сегодня письмо, что "Здравствуйте!
Спасибо за обращение в службу поддержки.

Спасибо за ваше сообщение. Мы проверили версию приложения 1.1.0 и можем подтвердить, что оно не содержит вредоносного контента. Сообщение от антивируса может быть связано с тем, что один из наших IP-адресов был отмечен как подозрительный из-за возможного неправильного использования. Мы расследуем этот вопрос. Также рекомендуем обновить ваш антивирус до последней версии — это может решить проблему.

Вы можете проверить наше приложение на VirusTotal, который использует базы данных нескольких антивирусов, по следующей ссылке:
https://www.virustotal.com/gui/file/81069bbf73bea557d768ffd0084a0465b400730c3b2704bce60339c922a316d0

Если проблема сохраняется, рекомендуем добавить следующие файлы и папки в исключения вашего антивируса/брандмауэра:

C:\Program Files\Seed4.Me VPN
C:\Program Files\Seed4.Me VPN\bin\Seed4.Me_service.exe
C:\Program Files\Seed4.Me VPN\bin\Seed4.Me_VPN.exe"

Сегодня пользовался данным приложением, антивирус не ругался пока.

[AlexeyK]

40 минут назад, serkor сказал:

То есть это произойдёт автоматически?

Возможны варианты, но, учитывая довольно большую популярность программы, скорее всего со временем исправят и без вашего участия. Может и не исправят, а выпустят новую версию программы и детекта не будет. Может эту исправят, а на новой версии опять будет детект.

А им надо не столько "расследовать этот вопрос" (хотя это не помешает), сколько участвовать в Allowlist, если они так уверены в полной безопасности продукта.

Эх, все хотят, чтоб всё работало как надо, но прилагать усилия для исправления не хотят.)) Пока детект не отключен (скрин).

Спойлер

 

Edited September 23 by AlexeyK

[serkor]

5 минут назад, AlexeyK сказал:

Пока детект не отключен (скрин).

Спасибо Вам за столь исчерпывающий ответ. У меня если после установки и первого запуска нажать в программе "kaspersky" "разрешить один раз", то больше окно с "подозрительным поведением" не появляется.

[AlexeyK]

6 минут назад, serkor сказал:

"разрешить один раз", то больше окно с "подозрительным поведением" не появляется.

Это фактически временное внесение в исключения. Я не особенно досконально изучал, но, судя по трею, программа постоянно запущена плюс еще есть служба. Думаю, что если перезагрузить ОС, то будет снова детект. Добавьте лучше в исключения для компонента Мониторинг активности, как рекомендовали разработчики.

Для примера на скринах файл старой и новой версий - старая доверенная по KSN, а новая только по подписи.

Спойлер

 

[serkor]

2 минуты назад, AlexeyK сказал:

Думаю, что если перезагрузить ОС, то будет снова детект.

Специально перезагружал несколько раз, детекта не было. Но если антивирус снова начнёт "доставать" сообщениями, то воспользуюсь Вашими советами и советами разработчика, добавлю в исключения для компонента Мониторинг активности.

[AlexeyK]

Только что, serkor сказал:

перезагружал несколько раз, детекта не было.

Это странно, однако.) Либо это баг, либо первичное подключение отличается по поведению от последующих. И срабатывает только на первое подключение. Ну да ладно, главное, что не мешает срабатываниями.

[Maratka]

Что же тут странного, учитывая что детект идёт на дистрибутив?

[AlexeyK]

7 часов назад, Maratka сказал:

Что же тут странного, учитывая что детект идёт на дистрибутив?

Только вот этот детект идет при первой попытке подключения через уже установленное приложение, а не при собственно запуске установки.

[AlexeyK]

Проверил подробнее - стало еще более непонятно. После первой попытки подключения срабатывает на файл установщика, который, кстати, не запущен в тот момент и не запускается при разрешении в балуне (скрин 1). Заново установил, переместил этот файл установщика в другую папку Downloads - все равно есть детект на этот файл, хотя он ни разу и не запускался (скрин 2). Но окончательно моя логика разрушилась тогда, когда я удалил этот файл с рабочего стола без перемещения в корзину, а детект все равно был на файл по тому же пути (скрин 3). Ну и от детекта помогло добавление папки программы в Program Files в исключения МА (файл установщика не добавлялся), после этого срабатываний нет. Как тебе такое, Илон Маск?©😄

Спойлер

 

Edited September 24 by AlexeyK

[Friend]

35 минут назад, AlexeyK сказал:

Проверил подробнее - стало еще более непонятно.

Это возможно баг, который очень очень редко воспроизводится и решается переустановкой.
А в целом по ситуации чуть выше решение написал @andrew75 - это обращение в поддержку с необходимыми отчетами: https://support.kaspersky.ru/common/diagnostics/15898

[AlexeyK]

23 минуты назад, Friend сказал:

очень очень редко воспроизводится и решается переустановкой

То есть нам двоим вместе с ТС нужно переустановить продукт или баг только у меня на неделю назад установленном продукте? 😄

[Friend]

10 минут назад, AlexeyK сказал:

баг только у меня на неделю назад установленном продукте

На баг это не влияет.

10 минут назад, AlexeyK сказал:

нам двоим вместе с ТС

Неа, у ТС уже все нормально:

10 часов назад, serkor сказал:

Специально перезагружал несколько раз, детекта не было

11 часов назад, serkor сказал:

У меня если после установки и первого запуска нажать в программе "kaspersky" "разрешить один раз", то больше окно с "подозрительным поведением" не появляется.

 

[AlexeyK]

@Friend Вы не очень поняли воспроизведение. Я проверил на другом снимке виртуалки - точно такой же результат. И воспроизводится однократно, при первом подключении. Выше уже обсуждали, у меня то же самое. И у ТС тоже в балуне детект установщика, который не запущен и не пытается запускаться.

Edited September 24 by AlexeyK

[andrew75]

Я собственно не понимаю, что вы до сих пор обсуждаете )

У ТС уже все нормально и он счастлив. Других жалоб не было.

Хотите решить проблему кардинально, велком в ТП )

[AlexeyK]

28 минут назад, andrew75 сказал:

Хотите решить проблему кардинально, велком в ТП )

Я просто описал поведение продукта в ответ @Maratka. Уже спросил на бета-форуме, есть ли смысл изучать это явление подробнее.

28 минут назад, andrew75 сказал:

Я собственно не понимаю, что вы до сих пор обсуждаете )

И я тоже не понимаю, для чего мне рекомендовать обращаться в ТП. Во-первых, я не спрашивал рекомендаций, а во-вторых я и сам в курсе (и вы все тоже об этом знаете), как можно поступить. Но @Friend для чего-то очередной раз без устали рекомендует, что делать и куда идти. 🙂

Edited September 24 by AlexeyK

[Maratka]

3 часа назад, AlexeyK сказал:

Только вот этот детект идет при первой попытке подключения через уже установленное приложение, а не при собственно запуске установки.

Это обычная кумулятивная активность, SW копит данные на всю последовательность запуска, и выдаёт детект на её инициатора.

[AlexeyK]

25 минут назад, Maratka сказал:

Это обычная кумулятивная активность, SW копит данные на всю последовательность запуска, и выдаёт детект на её инициатора.

Понимаю, что это цепочка действий и запусков, только выглядит это в итоге неправильно: предлагается выбрать действие (закрыть, разрешить, разрешить и исключить) с незапущенным приложением. Второе - детекта файла установленного приложения нет, а ведь срабатывает только после его активности. Это подтверждается тем, что при внесении в исключения детекта не наступает. Где же тогда детект этого запущенного файла, почему только изначальный детектирован? Ну и третье - детект отсутствующего файла: HIPS видит, что его нет, а МА выдает алерт.

Edited September 24 by AlexeyK

[Maratka]

А выберите действия по умолчанию, посмотрите что станет с установленным VPN клиентом после отката активности

[AlexeyK]

47 минут назад, Maratka сказал:

А выберите действия по умолчанию, посмотрите что станет с установленным VPN клиентом после отката активности

Вы правы, всё зачищается в процессе лечения с ребутом (скрин), даже в случае предварительного удаления установщика. В принципе, это основной вопрос был. Другое дело, что если выбрать закрыть приложение - ничего не закрывается, т.к. оно и не было запущено. А если добавить в исключения - добавляется только файл установщика. Но в любом случае - спасибо за разъяснение работы компонента в данном случае!

Спойлер

 

[Maratka]

52 минуты назад, AlexeyK сказал:

Другое дело, что если выбрать закрыть приложение - ничего не закрывается, т.к. оно и не было запущено.

Это мелкий дефект, разделить алерт на два, в зависимости от активности родительского процесса можно конечно, другое дело, что приоритет там даже не третий, а вообще ниже плинтуса.

[AlexeyK]

12 минут назад, Maratka сказал:

Это мелкий дефект, разделить алерт на два, в зависимости от активности родительского процесса можно конечно, другое дело, что приоритет там даже не третий, а вообще ниже плинтуса.

Ну не знаю, пользователь думает, что завершил работу вредоносного ПО, а ничего подобного. И вся работа МА насмарку. Или разрешил однократно - а по факту вообще вся цепочка действий потерялась. Ну разработчикам, конечно, виднее, как обычно.