Гаджет Вин 7 может скачать вирус?

October 26, 2022

Win 7ESU, KIS 21.3

Сегодня вдруг вылезло уведомление (скрин внизу).

Подробности

Событие: Обнаружен вредоносный объект
Пользователь: СТАРЫЙ-ПК\NEMO
Тип пользователя: Активный пользователь
Имя программы: sidebar.exe
Путь к программе: C:\Program Files\Windows Sidebar
Компонент: Веб-Антивирус
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Путь к объекту: http://www.whereisip.net
MD5: 6EFABF8F01B9E259A355A3365EAE4C9E
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 25.10.2022 22:07:00

Событие: Загрузка остановлена
Пользователь: СТАРЫЙ-ПК\NEMO
Тип пользователя: Активный пользователь
Имя программы: sidebar.exe
Путь к программе: C:\Program Files\Windows Sidebar
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Путь к объекту: http://www.whereisip.net
MD5: 6EFABF8F01B9E259A355A3365EAE4C9E
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 25.10.2022 22:07:00

Есть 3 гаджета берущих данные с интернета, но не с указанного выше.

2 погодных с https://www.theweathernetwork.com и https://narodmon.ru . 1 с курсом валют с сайта ЦБР. Гаджеты древние, подобных проблем не замечал.

Не смог определить что за сайт whereisip.net, поэтому не знаю какой гаджет может обращаться к нему. Есть только такие данные:

October 26, 2022

Добрый вечер, @sputnikk,
Учитывая следующее, то вполне возможно:

Цитата

Компания Microsoft приняла решение прекратить обновление и поддержку гаджетов в операционных системах Windows после обнаружения серьезных уязвимостей в платформе боковой панели в ОС Windows 7/Vista

Отключаете поочередно гаджеты и наблюдаете за ситуацией, либо полностью отключаете все гаджеты.

October 26, 2022

А в связи с тем, что Микрософт приняла решение, прекратить поддерживать Виндовс 7, то удалите Виндовс 7 и следите за ситуацией

October 27, 2022

9 часов назад, Friend сказал:

Добрый вечер, @sputnikk,
Учитывая следующее, то вполне возможно:

Отключаете поочередно гаджеты и наблюдаете за ситуацией, либо полностью отключаете все гаджеты.

Это не новость.
Может эксперты ЛК что-то знают про сайт из окрестностей Далласа https://ru.infobyip.com/ip-whereisip.net.html

October 27, 2022

Думаю отследить невозможно. Случай единичный, хотя погодные гаджеты соединяются с сайтами несколько раз в час, а валютный раз в час.

Системные addgadgets.com сами в сеть не лезут и проверка автообновления отключена

October 28, 2022

Судя по отсутствию Касперского в списке сайт направлен на заражение компов других стран https://www.virustotal.com/gui/url/e03011a78bae59ef33f5c3b3a2289c00142bd879ea8ba7a8157997e71a607bf0

Сегодня опять сработала защита. Как и в прошлый раз спустя 10 минут.

Поэтому под подозрение попал WeatherCenter.v2.6.2 http://weathercenter.narod2.ru с настройкой проверки обновления каждые 10 минут. Погоду берёт с www.theweathernetwork.com , единственного сайта из всего встроенного списка сохранившего поддержку гаджетов.

Однако странно, что срабатывает только 1 раз в сутки после включения, а не каждые 10 минут.

October 28, 2022

Подозрение с данного гаджета снято. Запустил виртуалку с вин 7 и получил аналогичное предупреждение, но там нет такого гаджета.

Событие: Обнаружен вредоносный объект
Пользователь: СТАРЫЙ-ПК\NEMO
Тип пользователя: Активный пользователь
Имя программы: VirtualBoxVM.exe
Путь к программе: C:\Program Files\Oracle\VirtualBox
Компонент: Веб-Антивирус
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Путь к объекту: http://www.whereisip.net
MD5: 560EC2F0523B119B63AD64575E18701D
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 28.10.2022 10:51:00

October 28, 2022

у меня стоит гаджет-машина с аналогичным набором гаджетов в виртуальной 8, 10, 11. Там ничего не грузится. Может это не гаджеты, а именно sidebar.exe

October 28, 2022

Добрый день,

Создайте, пожалуйста, запрос в поддержку: https://support.kaspersky.com/b2c

Сразу к запросу приложите GSI и, затем, трассировки, собранные в момент детекта:

1) Т.е. включить трассировки в продукте.

2) Дождаться детекта.

3) Выключить их и прислать прямо из продукта (указав номер запроса, после его создания).

Ну и ссылку на тему эту в запросе тоже укажите, пожалуйста. Спасибо!

October 28, 2022

1 час назад, Danila T. сказал:

собранные в момент детекта:

попробую завтра, на хосте и виртуалке, сегодня видимо загрузки трояна закончились

October 29, 2022

В 28.10.2022 в 14:57, Danila T. сказал:

3) Выключить их и прислать прямо из продукта (указав номер запроса, после его создания).

забыл. Послал ссылку на облако Майл.ру.

INC000014654513

November 1, 2022

Пока не ответили. Видимо ничего ужасного.

November 2, 2022

ответ ТП

Спойлер

Здравствуйте!

Уважаемый пользователь, благодарим Вас за ожидание.

Скорее всего, соединение к http://www.whereisip.net запрашивается от одного из гаджетов через C:\Program Files\Windows Sidebar\sidebar.exe

Выполните, пожалуйста, следующее:

1. Отключите гаджеты по одному, перезагружайте компьютер после отключения каждого, получится ли найти "виновника"?

Если это не поможет:
2. Откройте папку C:\WINDOWS\system32\Tasks\, создайте папку с названием "Архив" и перенесите все файлы и папки в C:\WINDOWS\system32\Tasks\ в папку "Архив" (затем можно будет вернуть файлы обратно). Перезагрузите компьютер, сохранится ли детектирование?

3. Пришлите нам в архиве с паролем следующие файлы:
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\langcursor-permanent-bin\langcursor.exe
D:\PROGI\Rainlendar-Lite-2\Rainlendar2\Rainlendar2.exe
C:\Program Files (x86)\Common Files\BinarySense\hldasvc.exe
C:\Windows\Temp\.opera\8D91583AECBF\installer.exe

Подозреваю только 3 гаджета, поскольку они установлены на хостовой и виртуальной ОС.

Но вот парадокс. Виртуальная 7 на VirtualBox 6.1 даёт срабатывание хостового КИС, а 7 на VMware 15 Player с этими же гаджетами не создаёт запросов на опасный сайт.

November 3, 2022

TrendMicro считает гаджеты опасными

https://www.virustotal.com/gui/file/7d5118513140ace28c09b895ee548fe6adb9a311de44621d35e63c6f6b675d39

https://www.virustotal.com/gui/file/053be2e3975a6ec7c6e06c3f1b3239e9769e9f5753c62b9966ba3107662758a5

https://www.virustotal.com/gui/file/7ccc807bce875c774021132a53c1b01a60c812c0fc2e4e74132d4d1b4e6affde

November 7, 2022

последние 3 дне не воспроизводится.

Возможно опасный сайт прикрыли или обеззаразили, может исчезло условие, вызывающее соединение с опасным сайтом.

Но остались вопросы без ответа:
1.Почему это случилось только спустя 9 лет использования?
2.Что за сайт, с которого скачивается троян?
3.Почему хостовый антивирус детектирует запрос виртуалки VirtualBox 6.1, но не дектирует аналогичной виртуалки VMware Workstation 15 Player?

November 7, 2022

Забыл написать. Network_Meter_V9.6 на виртуалке точно давал срабатывание хостового антивируса.

November 10, 2022

Проблема самоустранилась несколько дней назад. В ЛК не знают точных ответов на мои вопросы.

Гаджет Вин 7 может скачать вирус?

Recommended Posts

sputnikk

Friend

kmscom

sputnikk

sputnikk

sputnikk

sputnikk

sputnikk

Danila T.

sputnikk

sputnikk

sputnikk

sputnikk

sputnikk

sputnikk

sputnikk

sputnikk

Please sign in to comment

Forum

Products

Support

Personal Account