антивирус Kaspersky Standard 21.18.5.438 находит троян в программе seed4me-vpn-1.1.0 скачанной с официального сайта

[Maratka]

Пользователь об этом не думает, у него нет такого алерта.
Все что он видит - алерт в первом сообщении темы.

[AlexeyK]

34 минуты назад, Maratka сказал:

Пользователь об этом не думает, у него нет такого алерта.
Все что он видит - алерт в первом сообщении темы.

Этот алерт всегда появляется первым, после выбора "Закрыть и удалить приложение" появляется уже второй алерт, который здесь в первом сообщении. Так что увы, ему приходится думать. И нет, у меня не интерактивный, а автоматический режим работы АВ.

Вот в этом посте ТС сообщил, что выбрал "разрешить один раз". Как Вы понимаете, это тот же самый алерт, что на моих скринах.

[Maratka]

Верно, в данном случае я не прав.

[AlexeyK]

@Maratka Может дело в том, что тут МА дает неточный вердикт (поведение, характерное для вредносного ПО), поэтому выбор пользователю дается. Вроде если точный детект, МА на автомате сразу удаляет файл. Что-то я подзабыл нюансы работы SW, не самое частное срабатывание для АВ. Общаюсь через бета-форум на эту тему, думаю, смогу прояснить ситуацию.

Edited September 24 by AlexeyK

[Maratka]

У SW как раз вердикты предельно четкие, это не HIPS.
Разница, как бы неочевидная, но это без лупы. А с лупой - SW обычно работает по последовательности действий, а не по попытке одного действия (хотя может и по одному).

Т.е. создание exe-файла в %windir%- это стремно, но как бы и не запрещено, подними права до админских, и делай себе... Прописывание чего-то там в авторане - тоже обычное дело, всякие там телеграммы и виберы так сами себе и делают, да что там, антивирус касперского так делает сам себе! 🙂 Накидать в куда-то там драйверов, которые появились судя по KSN впервые сорок минут назад: ну так когда-то они же должны были впервые появится, стремно, но ничего невероятного там нет, не так ли?

А вот когда все три действия вместе совершает некий один бинарь за свою сессию - ну вот тогда оно уже не просто стремно, а уже (наверное) малвара 99,9%. Т.е. вот это принцип работы SW - складывание уровней "стремности", и когда он превысит планку - алерт. Подчернку, что это не всегда так, есть и очень точные сигнатуры, вида "создается драйвер с именем dlhs-83dd_3mbd.sys в профиле пользователя", но в целом - даже в этой, очень точной сигнатуре есть два условия - что драйвер, и что такой-то до него путь. 😉

[AlexeyK]

24 минуты назад, Maratka сказал:

У SW как раз вердикты предельно четкие

Вот  такие вердикты раньше встречались (скрин), сейчас не знаю, может эту "точность" убрали. Сравните с: подозрительное поведение, характерное для вредоносного приложения. Кроме того, SW может сам на автомате завершить процессы , удалить файлы и выполнить откат, без запросов пользователя. Так что тут тоже есть особенности.

Спойлер

 

[Maratka]

Возможно убрали, да.

[Stepan Korchagin]

В 24.09.2024 в 11:21, AlexeyK сказал:

@Friend Вы не очень поняли воспроизведение. Я проверил на другом снимке виртуалки - точно такой же результат. И воспроизводится однократно, при первом подключении. Выше уже обсуждали, у меня то же самое. И у ТС тоже в балуне детект установщика, который не запущен и не пытается запускаться.

Можно трейсы получить с воспроизведением?

Спасибо!

[AlexeyK]

1 час назад, Stepan Korchagin сказал:

Можно трейсы получить с воспроизведением?

Отправил в ЛС.