Вирусы (Python скрипты)

[4445]

Добрый день.
Не знали куда написать. Но объясню вкратце суть ситуации..

Есть программа Unity и для него файлы формата .unitypackage
В данный файлы .unitypackage встраивают вирусы. (обычно это идут Python скрипты и прочее)
Что при открытии файлов .unitypackage в самом Unity - вирусы активируются и крадут все ваши данные. (пароли с браузера.. всю личную информацию и прочее) и передают их злоумышленнику.



При сканировании .unitypackage антивирусом
Kaspersky Premium
Антивирусы не чего не находят и говорят - что файл безопасен.

Естественно у меня поваляются вопросы к разработчикам антивируса Kaspersky Premium
Может что-то с этим сделаете ? Ведь тысячи если не миллионы пользуются программой Unity. И выходит что таким методом у них крадут все их данные.
Можете ли вы что-то сделать с своим продуктом Kaspersky Premium - чтобы при сканировании того же файла .unitypackage - ваш антивирус видел вирусы ? Или для чего тогда вообще нужен Kaspersky Premium, если он не видит вирусы ?

Как мы понимаем данный вирус делает какой то человек и распространяет его в интернете. Из-за чего любой можешь воровать ваши пароли и все данные.
Информация на это.
https://github.com/ Hawkish-Team/Hawkish-Grabber
https:// hawkish[dot]eu/

И естественно прикрепили файл в котором мы это обнаружили - этот вирус (но увы обнаружили руками. А не антивирусом Kaspersky Premium и естественно все наши данные уплыли непонятно кому)
http://www.mediafire.com/file/ 7zak3o2s1zwqgvi /NyxenUpdate3.unitypackage

Хотелось бы услышать хоть какой то фитбэк от разработчиков Kaspersky Premium
А так же решить как то данную ситуацию с подобными вирусами.

[NikitaDob]

Я отправил ваш файл в вирусную лабораторию Касперского. Посмотрим, что ответят.

[NikitaDob]

Как я и думал.

Цитата

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

С уважением, Вячеслав, Вирусный аналитик
125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - актуальная информация о подозрительных файлах, URL, IP-адресах и доменных именах

 

[4445]

Не чего не обычного ?) А вас не смущает те скриншоты что мы прислали вам выше в доказательства к этому файлу.

При импорте файла в Unity выскакивает вот такое вот окошечко на секунду и все ваши пароли утекают кому-то там.

Печален лишь тот факт, что ваши специалисты не видят вируса в файле.

[Friend]

Тут и другие антивирусные продукты пока не детектят: https://www.virustotal.com/gui/file/c6badb33139ec2248db1ab9f20ce7b66b721f78c3817a53402df2f1be44dcc51

21 час назад, 4445 сказал:

Не знали куда написать.

Можете написать в поддержку:  https://support.kaspersky.ru/b2c/ru#contacts
Там есть специальная форма: "Вирусы - Другое"

 

[kmscom]

1 час назад, 4445 сказал:

выскакивает вот такое вот окошечко на секунду и все ваши пароли утекают кому-то там.

не вижу ничего опасного, окошко информирует, что происходит какой-то импорт, а причем тут утекание паролей, вы по каким признакам делаете такой вывод, по выскакиванию окошка? там кроме о импорте ничего нет.

[andrew75]

@kmscom, я думаю ТС смущает словосочетание "com.vrcfury.tmp"

Но ничто не указывает на то, что это внешний ресурс. Скорее это некий внутренний каталог проекта.

[4445]

1 час назад, andrew75 сказал:

@kmscom, я думаю ТС смущает словосочетание "com.vrcfury.tmp"

Но ничто не указывает на то, что это внешний ресурс. Скорее это некий внутренний каталог проекта.

Меня смущает. Что после импорта этого. Кто-то заходит в мои аккаунты на разных сайтах где я зарегистрирован. (как и показывал выше на скрине, что оно ворует пароли).

Если вы не видите в файле который мы вам предоставили выше - То вот вам тоже самое в другом файле.

https://www.mediafire.com/file/79fef9uuz2ytlfa/Deuzear.zip/file

 

 

[andrew75]

50 минут назад, 4445 сказал:

как и показывал выше на скрине, что оно ворует пароли

из того что вы "показывали выше" совершенно не следует что "оно ворует пароли".

То есть я не вижу никакой причинно-следственной связи между импортом чего-то в эту программу и заходом в ваши аккаунты.

1 час назад, 4445 сказал:

То вот вам тоже самое в другом файле

49 антивирусных решений на virustotal считают эти файлы чистыми. Выше вам процитировали ответ живого вирусного аналитика по другим файлам.

Если вас это не убеждает, то я не знаю, чем вам еще помочь.

Может стоит разобраться с безопасностью ваших аккаунтов и искать утечки в другом месте?

[4445]

23 минуты назад, andrew75 сказал:

49 антивирусных решений на virustotal считают эти файлы чистыми. Выше вам процитировали ответ живого вирусного аналитика по другим файлам.

Если вас это не убеждает, то я не знаю, чем вам еще помочь.

Может стоит разобраться с безопасностью ваших аккаунтов и искать утечки в другом месте?

Вы серьезно ? Даже кривой бесплатный windows защитник это видит. Но естественно windows защитник отрубиться если установить Kaspersky Premium. Так зачем тогда люди покупают Kaspersky Premium если Kaspersky Premium не видит таких угроз ? Мне уже что-то очень это не понятно. Да и такое отношения с стороны модераторов.. ужс.. Вас понял. Пойду другой антивирус искать.

Что virustotal ваш фигня.. что видимо и этот фигня. (уж извините меня за правду)

[andrew75]

14 минут назад, 4445 сказал:

Даже кривой бесплатный windows защитник это видит

так в чем проблема? Зачем тогда что-то еще искать, если Защитник с вами согласен.

Кстати, обратите внимание, Защитник реагирует не на скрипты, которые вы нам предлагаете проверить, а на скомпилированный вами файл

14 минут назад, 4445 сказал:

Так зачем тогда люди покупают Kaspersky Premium если Kaspersky Premium не видит таких угроз ?

может потому что угроз на самом деле нет?

14 минут назад, 4445 сказал:

Пойду другой антивирус искать.

Ищите и обрящете... (Мф 7:7–11)

[kmscom]

А на последнем скриншоте, в карантине, вообще откуда-то появился екзешник (поймихелпер). Откуда он взялся , бог его знает, автор кучу малу нагородил, без бутылки неразберёсся.
То начинается тема о программе Unity и для него файлов формата .unitypackage , а заканчивается про обезвреженный poiyomihelper.exe. В огороде бузина, а в Киеве дядька.

[NikitaDob]

5 часов назад, 4445 сказал:

А вас не смущает те скриншоты что мы прислали вам выше в доказательства к этому файлу.

Меня лично ничего не смущает. Я лишь процитировал ответ вирусного аналитика и не более того.

[Friend]

@kmscom @andrew75 человек привел несколько ссылок, и хочет сказать что легальный проект, который находится в гитхабе используют в других целях, точнее как формграббер, то что другие антивирусы могут не детектить это нормально, всегда кто-то начинает первым детектировать. Здесь нужно просто более подробнее все описать и в какой момент все это срабатывает, возможно есть какая-то защита, которая не дает сразу же задетектить вредоносные действия, такое возможно и вирлабе могли этого не заметить, у меня были случаи, когда приходилось все прям расписывать по "полочкам" и тогда уже вносили/корректировали детекты.

 

[andrew75]

@Friend, человек начитался ссылок и, судя по тому что он пишет, не совсем понимает, о чем там речь.

Unity это среда разработки компьютерных игр. Unitypackage это пакеты ресурсов для Unity, которые можно переносить из одного проекта в другой.

Разумеется в них можно встроить что-то вредоносное. И такие прецеденты были. Но само по себе это работать не будет. 

При импорте пакета в Unity никакой кражи паролей быть не может. Проект должен быть скомпилирован с использованием этого пакета и запущен.

То что он показывает на последнем скриншоте это штатный импорт пакета в Unity. 

А то что на первых скриншотах это судя по всему его эксперименты Hawkish-Grabber с github, который не имеет никакого отношения к Unity. Это некие скрипты на питоне, с помощью которых при выполнении инструкции можно скомпилировать некую программку, которая позволит красть некие пароли (по утверждению автора скриптов).

То есть у человека в голове каша, но конечно везде враги, которые крадут его пароли. Что впрочем неудивительно, если не имея достаточных знаний экспериментировать с непонятными скриптами.