Шифровальщик?

[ska79]

Сейчас устанавливал новую версию pdf creator, в процессе установки программа выкачала с нета файл op.exe в котором кис обнаружил угрозу. Pdf creator я снёс после этого. Файл отправил в вирлаб с пометкой ложное срабатывание

UPD ответил робот вирлаба,

 

op.exe - Trojan.MSIL.Crypt.cgsr

Детектирование файла будет добавлено в следующее обновление.

Чёт не то он пишет.

Отписал в саппорт.

Изменено 24 ноября, 2016 пользователем ska79

[oit]

шифровальщики должны как Trojan-Ransom определяться

[ska79]

@oit, crypt смущает в названии детекта .

[wumbo12]

Это правильно-что ваш каспер сработала защита мониторинг активности, чтобы не пустить шифровальщик.   Это вскорее не ложный -а, известно как вредоносный код сrypt по анализу md5 hash. Хорошо что вы отправил в вирлаб, чтобы не пустили заряженому Пк!

Изменено 24 ноября, 2016 пользователем wumbo12

[ska79]

@wumbo12, не мониторинг активности сработал, а файловый антивирус.

[wumbo12]

@wumbo12, не мониторинг активности сработал, а файловый антивирус.

Контролирует файлы -это мониторинг активности(проверяет по поведению эвристическими анализами вместе KSN), а файловый антивирус проверяет только -по базах(оффлайновые). Но, вскорее у вас включен мониторинг активности(вместе KSN), значит сработала защита.

Вот подробно здесь.

. Изменено 24 ноября, 2016 пользователем wumbo12

[ska79]

@wumbo12, файловый антивирь сработал, вредоносный файл я не запускал.

[Friend]

@ska79, а здесь проверяли файл: https://www.virustotal.com/? Что говорят другие антивирусные компании?

Может здесь тоже самое что было с Ammyy Admin?

[ska79]

@Friend, как то вылетело из головы про вирустотал. Судя по тому что ответа от саппорта ЛК еще нет, предполагаю что так и есть походу сайт программы взломали, ну или в саппорте выходной . Позже проверю на вирустотал

[santax]

ВикипедИя знает всё! https://ru.wikipedia.org/wiki/PDFCreator

 

При инсталляции пытается установить панель для браузера, распознаваемую антивирусами как вредоносное программное обеспечение^[2][3][4].

Примечания

1. ↑ Особенности программы (англ.)
2. ↑ ADWARE/Agent.cwnru при установке PDFCreator 1.3.0 (рус.)
3. ↑ PDFCreator with PDFForge is causing havoc with toolbar install.
4. ↑ Malware — urlseek20.vmn.net. Архивировано из первоисточника 20 января 2013.

Ссылки правда уже не живые

Изменено 25 ноября, 2016 пользователем santax

[ska79]

@santax, я снимал галочки pdf architect интеграция в браузеры.

[santax]

@ska79, был не прав - сейчас увидел другую тему: http://forums.pdfforge.org/t/trojan-detected-while-installing-pdfcreator-2-1/7751/2

как раз про op.exe.

it is possible there is a false virus threat detection due to the fact an offer screen is loaded during the setup.
It only displays an optional offer and nothing will get installed additionally without your acceptance.

Я не совсем понял про какой скрин они писали, но якобы он загружается во время установки и не мешает ничему.. Реклама что ли? Темнят они что-то..

 

http://forums.pdfforge.org/t/downloading-additional-files-failed-connection-to-server-was-reset-2-3-2/9220/3

http://forums.pdfforge.org/t/installing-pdf-creator-2-3-2-needs-internetconnection/9273

Тут предлагают пропустить при закачке этого файла.. Ой темнят.. ой темнят...

Изменено 25 ноября, 2016 пользователем santax

[ska79]

Отчёт вирустотал https://www.virustotal.com/ru/file/c570adb46c6deee7868ebb8e4586de295f20b538b6c8769c5bb92e461ac5a3b3/analysis/1480071718/

[thyrex]

MSIL.Crypt может означать, что файл накрыт каким-либо пакером

[ska79]

Саппорт ответил

 

Мы передали информацию вирусным аналитикам. Запрос находится в процессе обработки. Пожалуйста, ожидайте нашего ответа.