Jump to content

Recommended Posts

Posted

Файл начинается строкой

Set Phytoserology7 = WScript.CreateObject("WScript.Shell")

Только это одно уже должно навести на подозрения !

затем, если удалить все комментарии, то файл заканчивается строками:

Phytoserology7.RegWrite "HKCU\Indkbsvrdier\Markforsgets\Careless",Em4,Phytoserology9
c6 = Glimmer & chrw(34) & Detroniserings & chrw(34)
Phytoserology7.Run c6 , 1-1

Однако касперский этот файл пропускает. Если удалить все комментарии, которые играют маскировочную роль, то благополучно находит:

Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 2.txt (переименован из vbs)
Путь к объекту: D:\_virus\KIA Purchase Order List Requirements 20230227938823 PDF
SHA256 объекта: F1BE7762308B712C02B130697E850CA94412834E4DDC60721FF42F807F7E4891
MD5 объекта: 1883C2F3AEBCBD531DF49FC289013E6E
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 28.02.2023 2:04:00


В политике нет никаких ограничений ни на размер архива ни на время проверки.

До удаления строк с комментариями размер файла был 994 Кб, после удаления 200 кб

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...