Avira w Atlas Europy wykryła BDS/Gendal.17408.C.

[stukot]

Z ciekawości zainstalowałam sobie Atlas Europy, pełną wersję programu z 2009 roku. Był dołączony do pewnej gazetki komputerowej.

Jednak okazało się, że Avira wykrywa nim wirusa: BDS/Gendal.17408.C.

Lokalizacja tego pliku: C:\Users\Joanna ...\AppData\Local\Xenocode\Sandbox\Atlas Europy 2009\1.9.5.25\2009.05.25T14.02\Virtual\STUBEXE\@PROGRAMFILES@\Atlas Europy 2009\Course Framework.exe

Wpierw stwierdziłam, że to FP i kazałam ignorować ten program Avirze, no bo już kiedyś djarta mi powiedział, że to FP.

Tym razem jednak sprawdziłam ten plik na virus total i nie tylko Avira coś w nim wykrywa, więc go na razie odinstalowałam.

Wyniki skanowania:

Kod: Zaznacz cały

AhnLab-V3    Backdoor/Win32.Trojan
AntiVir    BDS/Gendal.17408.C
BitDefender    Backdoor.Generic.258355
ClamAV    Trojan.Poison-618
Comodo    Backdoor.Win32.Poison.~AB
Emsisoft    Backdoor.Generic!IK
eSafe    Win32.Backdoor
F-Secure    Backdoor.Generic.258355
Ikarus    Backdoor.Generic
K7AntiVirus    Trojan
McAfee    Generic BackDoor!drt
McAfee-GW-Edition    Generic BackDoor!drt
NOD32    probably a variant of Win32/Agent.HOQXPWL
Norman    Suspicious_Gen3.FOWP
PCTools    Backdoor.Trojan
Symantec    Backdoor.Trojan
TrendMicro    TROJ_GEN.R47C8K4
TrendMicro-HouseCall    TROJ_GEN.R47C8K4

Szybkie skanowanie mbam nie wykazało żadnych wirusów- ale już po dezinstalacji tamtego programu i usunięciu tamtego podejrzanego pliku.

Wiem, że wirusa wykryły programy słynące z FP: ClamAV, Comodo, Emsisoft, oraz całkiem nieznane mi programy typu Ikarus, itp.

Jednak mam względne zaufanie do F-Secure i NOD32.

Aha, nie zamieszczę tu logów z OTL. Bo jest bardzo duże prawdopodobieństwo, że to jednak FP.

[kominekl]

Pobierz Dependency Walker -> Dostępne tylko dla zarejestrowanych użytkowników i przedstaw nim badanie tegoż pliku.

[stukot]

To znów mam zainstalować ten program?

Nic się nie stanie?

Ok. Zainstaluję go, ale tym razem go nie dodam do listy wyjątków w Avirze...

[kominekl]

Możesz być w miarę o to spokojna. I tak czy siak to nie jest infekcja celująca w uszkodzenia.

[stukot]

Ok. To go zainstaluję, bo jest naprawdę ciekawy.

-- 13 sty 2012, o 14:56 --

Więc tak mbam pro wykryło wirusa w tamtym pliku: Trojan.Agent.

A Dependency Walker wyświetlił informację o błędzie:

Kod: Zaznacz cały

 Error: Modules with different CPU types were found.


Co jest nie tak?


Nie wiem, czy to coś da, tu jest log z tamtego programu: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Czy zrobiłaś to następująco? Otwórz Dependency Walker -> Open -> Course Framework.exe?

[stukot]

Tak to zrobiłam, ale pobrałam wersję tego programu na system 64-bit.

Djarta, czy to jest FP?


Dziwna sprawa, szybki skan Avirą nic nie wykrył, mimo że usunęłam tamten plik z listy ignorowanych.

A jak otwieram folder z tamtym plikiem, to Avira znów krzyczy, że wykryła w nim wirusa.

Już nic nie rozumiem.


Log dds: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Poruszyłem swoje źródła. Ten plik jest swego rodzajem wirusem, ale coś w deseń cracków. Tak więc możemy to pozostawić i zupełnie ignorować alarmy antywirusa odnośnie tego pliku.

[stukot]

Kominekl, jakim cudem ten plik może być czymś w ,,deseń cracków" skoro instalka programu, w którego on skład wchodzi, była dodana do Komputer Świat Niezbędnik 3/2009?

Chyba nie podejrzewasz, że oni dodają do swoich gazet cracki?

[kominekl]

Nie chodzi o dosłowne znaczenie Crack`a. Chodzi o sam styl wykrywania przez antywirusy. Cracki są traktowane, jako wirusy z pewnych względów podobnie, jak ten program, który jednak nie jest wirusem.

[marsellus]

SS nie sygnalizował że plik próbuje coś robić? Comodo FW nie sygnalizował łączenia z internetem odnośnie tego pliku?
Zresztą tak jak pisze kominekl plik jest nieszkodliwy, ale jak chcesz to możesz wysłać go do analizy skośnookim chłopcom z Dostępne tylko dla zarejestrowanych użytkowników

[stukot]

Marsellus, SS sygnalizował, że wykrył w tamtym pliku keyloggera. Zezwoliłam na to. Nie było żadnych innych podejrzanych akcji, które byłyby monitorowane jako próba wykonania zrzutów ekranu, albo monitorowanie schowka systemowego.

Zapora Comodo nie informowała, że tamten plik próbował się łączyć z netem.

Ochrona mbam pro też była wyczulona na ten plik, tak samo jak Avira.

Sprawdziłam tamten plik na comodo valkyrie i wykryli w nim: Malware:Backdoor.Win32.Poison.~AB

Co znaczy napis: Process: Active ? Czy to znaczy, że ten plik jest aktywny? Avira nie reaguje...

Może źle patrzę w AnVir Free, ale jakoś nie widzę aby tamten proces był uruchomiony...

Na wszelki wypadek kazałam SS blokować moduł keyloggera w tamtym programie...

[kominekl]

Może być. Jednak na pewno nie jest to infekcja w aktywnej formie.

[stukot]

Kominekl, no to teraz mogę być spokojna.

Najgorsza by była aktywna infekcja.

Po prostu nawet dobre programy antywirusowe, typu Avira, NOD32, BitDefender (nie znam go, ale on raczej jest dobry), a także mbam mogą wykrywać czasem FP.

Taki już ich urok.

[kominekl]

Powiem Ci tak. Można to nazwać FP. Jednak antywirusy mają obowiązek wykrywać pewne pliki, które jednak nie szkodzą naszemu systemowi. Maja jednak cechy wirusów i dlatego program klasy -> niezłego wzwyż powinien taki coś wykrywać.