sputnikk 1 310 Опубликовано 17 марта, 2020 Share Опубликовано 17 марта, 2020 КАВ нашёл трояна в памяти, при этом на дисках ничего нет. Отправил запрос INC000011374223. После лечения: 17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37 Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 17 марта, 2020 Share Опубликовано 17 марта, 2020 Какая помощь требуется? Цитата Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 310 Опубликовано 17 марта, 2020 Автор Share Опубликовано 17 марта, 2020 (изменено) Какая помощь требуется? Объяснить что за вирус. Может с сайта загружается, может по сетке распространяется. Раньше не было такого, чтоб троян оказался в памяти, а не на диске. КРД не нашёл ничего нового, только старые файлы, не использовавшиеся в момент возникновения трояна. Не нашёл как сохранить отчёт текстом, поэтому сделал скрин Изменено 17 марта, 2020 пользователем sputnikk Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 247 Опубликовано 17 марта, 2020 Share Опубликовано 17 марта, 2020 @sputnikk, по правилам стандартной поддержки на сайте Лаборатории Касперского, техническая поддержка не предоставляет описание вирусов без специального контракта для корпоративных клиентов, думаю это: https://securelist.ru/the-silence/87891/ 1 Цитата Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 310 Опубликовано 18 марта, 2020 Автор Share Опубликовано 18 марта, 2020 тп написала: Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы. Но у меня нет активных кмс и не использовал на хосте Цитата Ссылка на сообщение Поделиться на другие сайты
Noo 30 Опубликовано 18 марта, 2020 Share Опубликовано 18 марта, 2020 (изменено) тп написала: Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы. Но у меня нет активных кмс и не использовал на хосте Лог КРД свидетельствует об обратном. По поводу памяти: способов малвари (и легальному ПО) внедрить свой код в другой процесс - вагон и тележка. Скорее всего, произошло так, что какой-то процесс записал код в другой процесс, и он стал выполняться в контексте уже нового процесса. Затем первый процесс завершил работу. Изменено 18 марта, 2020 пользователем Noo 1 Цитата Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 310 Опубликовано 18 марта, 2020 Автор Share Опубликовано 18 марта, 2020 Лог КРД свидетельствует об обратном. Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе Цитата Ссылка на сообщение Поделиться на другие сайты
Noo 30 Опубликовано 18 марта, 2020 Share Опубликовано 18 марта, 2020 (изменено) Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе А не обязательно может быть exe-файл. Активатор может внести изменения в загрузчик ОС, и этого ему будет достаточно для работы. Скорее всего, KRD его не детектирует, потому что его поведение не схоже с поведением вредоносных руткитов. После перезагрузки вредоносное ПО обнаруживается? Может быть, если даже оно было, оно не сохраняется в системе? Изменено 18 марта, 2020 пользователем Noo Цитата Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 310 Опубликовано 18 марта, 2020 Автор Share Опубликовано 18 марта, 2020 После перезагрузки вредоносное ПО обнаруживается? нет. Вылечилось за раз 17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37 Цитата Ссылка на сообщение Поделиться на другие сайты
Noo 30 Опубликовано 18 марта, 2020 Share Опубликовано 18 марта, 2020 (изменено) После перезагрузки вредоносное ПО обнаруживается?нет. Вылечилось за раз. Тогда беспокоиться не о чем. Изменено 18 марта, 2020 пользователем Noo 1 Цитата Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 310 Опубликовано 18 марта, 2020 Автор Share Опубликовано 18 марта, 2020 Ещё написали: 1) Включите запись трассировок. Нажмите на иконку агента техподдержки (кнопка «Поддержки») в левом нижнем углу главного окна программы -> «Мониторинг проблем» -> «Рекомендуемые» -> «Включить запись». 2) Воспроизведите проблемную ситуацию/ошибку с детектированием MEM:Trojan.Win32.Silence.gen; Если бы знал как повторить, то не стал бы спрашивать о причинах возникновения угрозы. Боюсь у аналитиков в тп каша в голове из разных запросов Не использую KMS на хосте. Разве что вылезло с виртуальной 8.1.1 pro vl установленной в VirtualBox 6.0, но тогда это глюк VirtualBox Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 247 Опубликовано 18 марта, 2020 Share Опубликовано 18 марта, 2020 @sputnikk, они, наверно, не просто так запросили у вас трассировки, а для диагностики? Если не можете воспроизвести, так и пишите: к сожалению, не могу воспроизвести, запрос закрываю и закройте запрос, либо ждите когда проблема возникнет и пришлите им трассировки.По ответу видно, что они предполагают, а не говорят, что из-за KMS точно идет детект. Цитата Ссылка на сообщение Поделиться на другие сайты
sputnikk 1 310 Опубликовано 19 марта, 2020 Автор Share Опубликовано 19 марта, 2020 так и пишите: писал. Ответили: Чуть ранее в запросе мы сообщили, почему может возникнуть данная ситуация. Вы можете понаблюдать за ситуацией в течение недели, вдруг она воспроизведется и предоставить нам трассировки для анализа. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.