Перейти к содержанию

Подскажите что за вирусTrojan.Win32.Silence.gen ? Не нашёл в Гугле.


Рекомендуемые сообщения

 КАВ нашёл трояна в памяти, при этом на дисках ничего нет. Отправил запрос INC000011374223. 

После лечения:

17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37
Ссылка на сообщение
Поделиться на другие сайты

Какая помощь требуется?

Объяснить что за вирус. Может с сайта загружается, может по сетке распространяется. Раньше не было такого, чтоб троян оказался в памяти, а не на диске.

 

КРД не нашёл ничего нового, только старые файлы, не использовавшиеся в момент возникновения трояна. Не нашёл как сохранить отчёт текстом, поэтому сделал скрин

post-22080-0-08261900-1584464819_thumb.png

Изменено пользователем sputnikk
Ссылка на сообщение
Поделиться на другие сайты

тп написала:

Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы.

 

Но у меня нет активных кмс и не использовал на хосте

Ссылка на сообщение
Поделиться на другие сайты

тп написала:

Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы.

 

Но у меня нет активных кмс и не использовал на хосте

Лог КРД свидетельствует об обратном.

 

По поводу памяти: способов малвари (и легальному ПО) внедрить свой код в другой процесс - вагон и тележка. Скорее всего, произошло так, что какой-то процесс записал код в другой процесс, и он стал выполняться в контексте уже нового процесса. Затем первый процесс завершил работу.

Изменено пользователем Noo
Ссылка на сообщение
Поделиться на другие сайты

 

 


Лог КРД свидетельствует об обратном.
Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе
Ссылка на сообщение
Поделиться на другие сайты
Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе

 

А не обязательно может быть exe-файл. Активатор может внести изменения в загрузчик ОС, и этого ему будет достаточно для работы. Скорее всего, KRD его не детектирует, потому что его поведение не схоже с поведением вредоносных руткитов.

После перезагрузки вредоносное ПО обнаруживается? Может быть, если даже оно было, оно не сохраняется в системе?

Изменено пользователем Noo
Ссылка на сообщение
Поделиться на другие сайты

 

 


После перезагрузки вредоносное ПО обнаруживается?
нет. Вылечилось за раз

17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37

Ссылка на сообщение
Поделиться на другие сайты

 

После перезагрузки вредоносное ПО обнаруживается?

нет. Вылечилось за раз.

 

 

Тогда беспокоиться не о чем.

Изменено пользователем Noo
Ссылка на сообщение
Поделиться на другие сайты

Ещё написали:

 

1) Включите запись трассировок. Нажмите на иконку агента техподдержки (кнопка «Поддержки») в левом нижнем углу главного окна программы -> «Мониторинг проблем» -> «Рекомендуемые» -> «Включить запись».
2) Воспроизведите проблемную ситуацию/ошибку с детектированием MEM:Trojan.Win32.Silence.gen;
 
Если бы знал как повторить, то не стал бы спрашивать о причинах возникновения угрозы. Боюсь у аналитиков в тп каша в голове из разных запросов

Не использую KMS на хосте. Разве что вылезло с виртуальной 8.1.1 pro vl установленной в VirtualBox 6.0, но тогда это глюк VirtualBox

Ссылка на сообщение
Поделиться на другие сайты

@sputnikk, они, наверно, не просто так запросили у вас трассировки, а для диагностики? :coffee:
Если не можете воспроизвести, так и пишите: к сожалению, не могу воспроизвести, запрос закрываю и закройте запрос, либо ждите когда проблема возникнет и пришлите им трассировки.
По ответу видно, что они предполагают, а не говорят, что из-за KMS точно идет детект.

Ссылка на сообщение
Поделиться на другие сайты

 

 


так и пишите:
писал. Ответили: Чуть ранее в запросе мы сообщили, почему может возникнуть данная ситуация. Вы можете понаблюдать за ситуацией в течение недели, вдруг она воспроизведется и предоставить нам трассировки для анализа.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...