Jump to content

Recommended Posts

Posted

Ситуация следующая.
Когда-то давно, пользовался лицензионным Acronis True Image. Но сейчас нет возможности приобрести лицензию. Поискав аналоги, нашёл Кибер Бэкап.
Скачал демо версию, использовал положенный срок, подозрений и нареканий не возникло.
Подумав, приобрёл лицензию на CyberBackupPersonal. Примерно спустя неделю, появилось обновление v26.4.1.41990 от 2024-02-20.


У меня на борту: Windows 10 x64 22H2 build 19045.4046 + Kaspersky Premium с последними обновлениями.
Версия крайнего дистрибутива CyberBackupPersonal: v26.4.1.41990.exe. После установки, в поведении ПО обнаружен троян.
Сам дистрибутив от вирусов чист. Т.е. именно поведение самого ПО из коробки подозрительно.
К установщику вопросов нет. Есть проблемы с самим ПО. Уже после установки, при запуске ПО, Kaspersky полностью блокирует и удаляет подозрительные файлы.


После удаления ПО, в каталоге продукта остаётся tishell64_26_4_41990.dll (tishell64_26_3_39520.dll на предыдущей версии). 
Анализ dll в File Locksmith (MS Power Toys) и завершение связанных процессов (это отдельный вопрос каким образом) - не даёт доступа на удаление файла.
Чтобы её удалить, необходимо поиграться с правами доступа. Что тоже есть подозрительно.

Что предлагает Техническая Поддержка от разработчика:
- Добавить в исключения каталог с ПО (подозрительно).
- Дистрибутив CyberBackupPersonal v26.3.1.39520.exe предоставить отказались (подозрительно).
- Прислать файла на анализ (Kaspersky Premium их удаляет, в исключения точно нет желания это добавлять).

avpui_kbG8S6hTnf.png

Posted

А какого разработчика Техническая Поддержка предлагает?
Антивирус не бог, он может ошибаться. Ложные срабатывания, при выходе новых версий программ не редкость.
Что обычно предпринимают
- отправляют файлы на дополнительную проверку, например на https://opentip.kaspersky.com/
- временно создают исключения, если есть уверенность, что это ложное срабатывание

Более подробней, можно ознакомиться в статье https://support.kaspersky.ru/common/error/other/1870   и https://support.kaspersky.ru/common/error/other/15332
 

Posted

@Morozov, у вас Kaspersky Premium, который включает расширенную техническую поддержку.

Данный случай, на мой взгляд, отвечает этим условиям. Так что обращайтесь в ТП по каналам Премиум-поддержки, которые вам должны были предоставить при покупке лицензии.

А так, да, с большой вероятностью это ложное срабатывание. Судя по отчету сработал облачный детект.

Posted

От того, что разработчик вкрячил троян в продукт, и я добавлю это в исключение, оно не станет легитимнее. Мне так кажется.

Posted

@Morozov тогда еще проще. Нужно удалить такой продукт и не пользоваться.

Posted (edited)

@Morozov Судя по скрину, срабатывание было на два файла - BrowseFolderHelper.exe и CyberBackupPersonal.exe. Причем по два детекта на каждый - как ПНП и вредоносное ПО. Это срабатывание (по крайней мере на второй файл) локального поведенческого блокиратора. В данном случае ложный детект антивируса на 99%, Вам правильно сообщили, что для решения вопроса стоило бы отправить оба файла на анализ через ТП или Opentip. Возможно, конечно, что и без Вашего участия ложное срабатывание было или будет исправлено. Но скорее всего, детект не отключат, пока кто-то не обратится, так как данное ПО, судя по статистике KSN, не очень популярное.

Спойлер

Screenshot_2.thumb.png.2478da925248a0fab17d1fbe17d98db7.png

 

Edited by AlexeyK
Posted

Opentip лимит в 256 МБ.
image.thumb.png.91236b44df968908134ea7d67fbd757e.png


Через ТП непонятно где отправить файл на анализ.
Там же нашёл ссылку на этот форум.
image.thumb.png.15c7192172f145a958e1fc81b8d3d0a0.png

Posted
18 часов назад, kmscom сказал:

@Morozov тогда еще проще. Нужно удалить такой продукт и не пользоваться.

Не вариант. Я его покупал с определённой целью делать бэкапы.

Posted
3 минуты назад, Morozov сказал:

Через ТП непонятно где отправить файл на анализ.

я для какого даю ссылки на статьи? для дяди Васи? 
 

если трудно предоставить то, что указано в статье, можете выложить на любой файлообменник, и дать ссылку

Posted

CyberBackupPersonal v26.3.1.39520 - доверенная версия
CyberBackupPersonal v26.4.1.41990 - подозрительная версия
Небольшое дополнение - реагирует только Kaspersky Premium (Настройки файлового антивируса - по-умолчанию, эвристический анализ - средний) и только на Windows 10 22H2 (на Windows 11 23H2 такой реакции не наблюдается).
Со слов ТП Кибер Бэкап, они обратились в Kaspersky, с просьбой провести анализ новой версии ПО. Насколько это соответствует правде - посмотрим, очень надеюсь. Этим бэкапером пользуюсь очень давно - не хотелось бы терять доверие к разработчикам, такая ситуация впервые.

Posted

@Morozov Оба файла сейчас Доверенные и не должны более детектироваться.

Спойлер

Screenshot_3.thumb.png.c5fc58ec288ad131f5670f9f534c1236.png

 

Posted

Хотя нет, не досмотрел я некоторые моменты. Это только доверенная подпись (без подтверждения), при запуске большинство файлов идут в слабые ограничения, так что детект пока не снят. Интересно, что при анализе этих файлов на Opentip они значатся как чистые, но один раз при обновлении показали детекты точно такие же, как на Вашем скрине - информация о срабатывании на Вашей системе была отправлена в облако. Впервые вижу такие "колебания" вердикта Opentip.

Я установил программу на Win 10, но после запуска идет запрос логина и пароля, которых у меня нет. Детекта не было, скорее всего он появляется при работе программы, т.е. при создании бэкапов. Без лицензии это сделать не получится. Так как файлы по Opentip не детектируются (по крайней мере в большинстве случаев), то тут лучше Вам либо дождаться, когда ответят из ТП Кибер Бэкапа, либо создавать запрос в ТП Касперского со сбором логов, чтобы было видно срабатывание. Также можно отправить в ТП ЛК только эти два файла, на которые был детект, и приложить скриншоты срабатывания Мониторинга активности.

Случай, конечно, не самый простой для исправления. Я отправил через Opentip запрос на повторный анализ файлов с комментариями, но это не значит, что вопрос удастся решить. Если что-то ответят - сообщу.

https://opentip.kaspersky.com/072179BC690ED48724953C65FA4C8116D3C2FFA9923AB225A9E7E539CE843423/results?tab=upload

https://opentip.kaspersky.com/71D3D410BD225A098F291072666A48CE3527A861B24B19A5B53C7B5EB170FEDE/results?tab=upload

Спойлер

Screenshot_3.thumb.png.9e1207639db3993f243a8fc184a79359.png

 

  • Like 1
Posted

Достал файлы из карантина. Вот такую ерунду показывает opentip.kaspersky.com.

BrowseFolderHelper.exe | 71D3D410BD225A098F291072666A48CE3527A861B24B19A5B53C7B5EB170FEDE | Not categorized -> Clean
Detection names
23 Feb, 2024 03:00 | BSS:Trojan.Win32.Generic
23 Feb, 2024 03:00 | not-a-virus:BSS:RiskTool.Win32.BootChanger.a.9

CyberBackupPersonal.exe | 072179BC690ED48724953C65FA4C8116D3C2FFA9923AB225A9E7E539CE843423 | Not categorized -> Clean
Detection names
23 Feb, 2024 02:34 | BSS:Trojan.Win32.Generic
23 Feb, 2024 02:34 | not-a-virus:BSS:RiskTool.Win32.BootChanger.a.9

securezone_upgrade_standard.exe | 082907E876BB185E0916ED9EBE86FAB1EC46A2FD95FC02E23EE1DD0903338FEC | Not categorized -> Clean
Detection names
23 Feb, 2024 22:59 | BSS:Trojan.Win32.Generic
23 Feb, 2024 22:59 | not-a-virus:BSS:RiskTool.Win32.BootChanger.a.9
 

BrowseFolderHelper.png

CyberBackupPersonal.png

securezone_upgrade_standard.png

  • Like 1
  • Solution
Posted (edited)

@Morozov Как раз об этом я и сообщал, что вердикт по файлам на Opentip иногда меняется. Вернее даже не меняется, а при повторном запуске динамического анализа сначала отображаются детекирования, полученные от пользователей. После выполнения анализа выдается вердикт Clean, какое-то время результат кеширован, динамический анализ не выполняется, файл так и остается чистым.

Из вирлаба ответа не последовало, а значит изменений по моему запросу не будет.

На самом деле, проблему с детектом файлов нужно решать компании-разработчику. Даже если сейчас они как-то исправят конкретные срабатывания, то при выходе новой версии скорее всего они снова появятся. Для разработчиков есть программа Allowlist, которая как раз направлена на снижение числа ложных детектов. Им бы стоило заняться данным вопросом. Можете отправить им ссылки для ознакомления, сами тоже почитайте, думаю, Вам будет интересно и познавательно.)

https://www.kaspersky.ru/partners/allowlist-program

https://support.kaspersky.ru/kes-for-windows/12.4/settings/protection/15957

https://www.kaspersky.ru/file-reputation

Edited by AlexeyK
  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...