Jump to content
Kaspersky Support Forum

Trojan-Downloader.Win32.Bitser

Andrey_2024
 Share
Go to solution Solved by AlexeyK,

Recommended Posts

Andrey_2024

Andrey_2024

Posted
Posted (edited)

Добрый день.

Выпуск    Windows 11 Домашняя для одного языка
Версия    23H2
Дата установки    ‎29.‎11.‎2023
Сборка ОС    22631.3593
Взаимодействие    Windows Feature Experience Pack 1000.22700.1003.0

KIS
21.3.10.391 (I)
 

Файл был скачан и запущен до установки KIS.

После установки KIS был обнаружен только в загрузке и был удален.

В песочнице определился как Trojan-Downloader.Win32.Bitser.fjx., VHO:Trojan-PSW.Win32.Convagent.gen

Повторная полная проверка после установки ничего не дала.

Т.к. файл "установки опера" был точно запущен, что делать? Как теперь удалить результаты отработки вируса?

Снимок из песочницы: 

 

virus.png

virus_2.png

Edited by Andrey_2024
Дополнение
AlexeyK

AlexeyK

Posted
Posted
44 минуты назад, Andrey_2024 сказал:

Т.к. файл "установки опера" был точно запущен, что делать?

Пока ничего не делайте, тут, похоже, просто ложное срабатывание. Отправил на повторный анализ в вирлаб, сообщу о результате.

Анализ файла на VT и OpenTIP.

AlexeyK

AlexeyK

Posted
Posted
3 часа назад, Andrey_2024 сказал:

Как теперь удалить результаты отработки вируса?

Пока не ответили из вирлаба, значит есть вероятность, что детект не снимут. Судя по данным ВТ он загружает множество всевозможных доп. программ. Чтобы понять более полно, что он выполняет, отправил Вам просьбу выслать мне этот файл в личку. Я смогу его запустить и попробую посмотреть, от чего предстоит очищать ОС. Найти его в сети не удается.

  • Solution
AlexeyK

AlexeyK

Posted
  • Solution
Posted
13 часов назад, Andrey_2024 сказал:

Как теперь удалить результаты отработки вируса?

Ложное срабатывание исправлено, это не вредоносный файл. Доверие KSN ему, конечно, не дали, но детектирования при проверке нет, хотя на OpenTIP он обозначен как Adware.

Этот файл, помимо Opera, устанавливает несколько доп. программ - Я. Браузер, Я. сервисы и - куда же без него - антивирус 360 TS. Но это происходит, если при инсталляции были пройдены все шаги установки и не сняты галочки. На скриншоте ниже видны все программы, которые установлены в нагрузку, удалить можно стандартным способом.

Спойлер

Screenshot_11.thumb.png.15270ab1af76f0ab3e1aa506806ca8b8.pngScreenshot_10.thumb.png.4e4bac207d21e2f5b4b868526136adfb.pngScreenshot_9.thumb.png.bc72dfe890a132d9ef31241dfe64d449.png

 

andrew75

andrew75

Posted
Posted

Что интересно, есть даже такая, вполне себе официальная вещь.

AlexeyK

AlexeyK

Posted
Posted (edited)

@andrew75 Не, это совсем другое. Официальная просто слегка приправлена Яндексом, да и подписана Opera. А это обычный рекламный бандлер, криво сделанный - при установке какие-то дефекты шрифта. Ну и подписан не пойми кем.) И собственно Оперу ставит самую свежую - 95 версии, которой уже вроде года полтора.) Скрины:

Спойлер

Screenshot_12.png.5478db46b1246a6214f654b63fccf1ca.pngScreenshot_13.png.cd06b1c24d1076807a657530d5f017cf.pngScreenshot_5.thumb.png.593bcd94b4955263c98a355cf52655a2.pngScreenshot_7.thumb.png.a32a02580e4f462c6b321f9851961e60.png

 

Edited by AlexeyK
andrew75

andrew75

Posted
Posted

Да я понял. Это очень распространенная вещь для популярных программ сейчас. Обычно размещают на созвучных русскоязычных доменах. 

  • Like 1
AlexeyK

AlexeyK

Posted
Posted

Все-таки неизвестно было, что он еще там дозагружает, но теперь понятно, что это чисто рекламный установщик, а не вредонос.)

Кстати, на ВТ видно, какие движки, по всей видимости, слегка позаимствовали детектирование.)

Screenshot_14.thumb.png.e099731c908c0d4c12710f0307ac18dc.png

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...