Подскажите что за вирусTrojan.Win32.Silence.gen ? Не нашёл в Гугле.

[sputnikk]

 КАВ нашёл трояна в памяти, при этом на дисках ничего нет. Отправил запрос INC000011374223. 

После лечения:

17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37

[Mark D. Pearlstone]

Какая помощь требуется?

[sputnikk]

Какая помощь требуется?

Объяснить что за вирус. Может с сайта загружается, может по сетке распространяется. Раньше не было такого, чтоб троян оказался в памяти, а не на диске.

 

КРД не нашёл ничего нового, только старые файлы, не использовавшиеся в момент возникновения трояна. Не нашёл как сохранить отчёт текстом, поэтому сделал скрин

Изменено 17 марта, 2020 пользователем sputnikk

[Friend]

@sputnikk, по правилам стандартной поддержки на сайте Лаборатории Касперского,  техническая поддержка не предоставляет описание вирусов без специального контракта для корпоративных клиентов, думаю это: https://securelist.ru/the-silence/87891/

[sputnikk]

тп написала:

Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы.

 

Но у меня нет активных кмс и не использовал на хосте

[Noo]

тп написала:

Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы.

 

Но у меня нет активных кмс и не использовал на хосте

Лог КРД свидетельствует об обратном.

 

По поводу памяти: способов малвари (и легальному ПО) внедрить свой код в другой процесс - вагон и тележка. Скорее всего, произошло так, что какой-то процесс записал код в другой процесс, и он стал выполняться в контексте уже нового процесса. Затем первый процесс завершил работу.

Изменено 18 марта, 2020 пользователем Noo

[sputnikk]

 

 

Лог КРД свидетельствует об обратном.

Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе

[Noo]

Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе

 

А не обязательно может быть exe-файл. Активатор может внести изменения в загрузчик ОС, и этого ему будет достаточно для работы. Скорее всего, KRD его не детектирует, потому что его поведение не схоже с поведением вредоносных руткитов.

После перезагрузки вредоносное ПО обнаруживается? Может быть, если даже оно было, оно не сохраняется в системе?

Изменено 18 марта, 2020 пользователем Noo

[sputnikk]

 

 

После перезагрузки вредоносное ПО обнаруживается?

нет. Вылечилось за раз

17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37

[Noo]

 

После перезагрузки вредоносное ПО обнаруживается?

нет. Вылечилось за раз.

 

 

Тогда беспокоиться не о чем.

Изменено 18 марта, 2020 пользователем Noo

[sputnikk]

Ещё написали:

 

1) Включите запись трассировок. Нажмите на иконку агента техподдержки (кнопка «Поддержки») в левом нижнем углу главного окна программы -> «Мониторинг проблем» -> «Рекомендуемые» -> «Включить запись».

2) Воспроизведите проблемную ситуацию/ошибку с детектированием MEM:Trojan.Win32.Silence.gen;

 

Если бы знал как повторить, то не стал бы спрашивать о причинах возникновения угрозы. Боюсь у аналитиков в тп каша в голове из разных запросов

Не использую KMS на хосте. Разве что вылезло с виртуальной 8.1.1 pro vl установленной в VirtualBox 6.0, но тогда это глюк VirtualBox

[Friend]

@sputnikk, они, наверно, не просто так запросили у вас трассировки, а для диагностики?
Если не можете воспроизвести, так и пишите: к сожалению, не могу воспроизвести, запрос закрываю и закройте запрос, либо ждите когда проблема возникнет и пришлите им трассировки.
По ответу видно, что они предполагают, а не говорят, что из-за KMS точно идет детект.

[sputnikk]

 

 

так и пишите:

писал. Ответили: Чуть ранее в запросе мы сообщили, почему может возникнуть данная ситуация. Вы можете понаблюдать за ситуацией в течение недели, вдруг она воспроизведется и предоставить нам трассировки для анализа.