При запуске ИС ПАРАГРАФ Антивирус McAfee "ругается"

[Ivantsova Olga]

При запуске ИС ПАРАГРАФ Антивирус McAfee сообщает о том, что модуль update.exe, с которым работает ИС ПАРАГРАФ, заражен вирусом BacKDoor-CWA. Мы провели ряд тестов на основании информации, опубликованной на сайте разработчика, проверили update.exe несколькими другими антивирусными системами (в том числе online-антивриусами) и сделали вывод - файл не заражен.

При возникновении этого сообщения:

mcafee.bmp

необходимо файл Update.exe добавить в доверенную зону.

[Гость Den_KZ]

При запуске ИС ПАРАГРАФ Антивирус McAfee сообщает о том, что модуль update.exe, с которым работает ИС ПАРАГРАФ, заражен вирусом BacKDoor-CWA. Мы провели ряд тестов на основании информации, опубликованной на сайте разработчика и сделали вывод - файл не заражен.

При возникновении этого сообщения:

mcafee.bmp

необходимо файл Update.exe добавить в доверенную зону.

НИ В КОЕМ СЛУЧАЕ !!!!

Если бы это было ложное срабатывания, то какого черта его же (трояна) находят в первой строчке в C:\System Volume Information\... - или ваш Update.exe сам туда его прописывает ?

К тому же Dr.WEB CureIT - его тоже детектирует...

P.S.

А не сами Вы случаем туда "закладку" внедрили ?

[Ivantsova Olga]

НИ В КОЕМ СЛУЧАЕ !!!!

Если бы это было ложное срабатывания, то какого черта его же (трояна) находят в первой строчке в C:\System Volume Information\... - или ваш Update.exe сам туда его прописывает ?

Не мудрено, что антивирус детектировал угрозу в папке C:\System Volume Information - здесь находится кэш службы восстановления системы, а именно копии системных файлов, ключей реестра, инсталлированных программ и т.д.

Мы проверили дистрибутивы за 2008 год, сохраненный на лазерных носителях (!!!) и обновленный на 1 июля 2009 года McAfee так же детектировал update.exe как троян. Что вы на это скажите?

К тому же Dr.WEB CureIT - его тоже детектирует...

P.S.

А не сами Вы случаем туда "закладку" внедрили ?

Прошу предоставить скриншот экрана и/либо логи сканера, где Dr.WEB CureIT "ругается" на update.exe.

ps: Пользователям рекомендую:

1. Провести тесты на основании информации, которую публикует разработчик McAfee на своем сайте, а именно - проверить реестр на наличие специфичных веток.

2. По возможности проверить память, жесткие диски.. другими антивирусными системами.

3. Провести проверку подозреваемого файла online-антивирусами.

Также обратите внимание на:

Virus Characteristics

The Trojan establishes itself as a system service in order to ensure it runs whenever the system is active. Versions have been seen that use Apple's iPod Hardware Management Services name ("iPodSrv") or the name of Microsoft's Internet Authentication Service ("IAS").

Здеь сказано что троян прописывает себя как системный сервис. Либо как Apple's iPod Hardware Management Services name ("iPodSrv"), либо как Microsoft's Internet Authentication Service ("IAS"). Утилита обновления никогда себя как системный сервис не прописывает.

Files Added

Either one or two DLLs are used.

In the case of the "IAS" named version:

%WinDir%\System32\iasrv.dll (19 KB)

The "iPodSrv" version makes use of two separate files:

%WinDir%\System32\ntmorlib.dll (12 KB)

%WinDir%\System32\ipodsrv.dll (7 KB)

Здесь сказано где и под какими именами этот троян записан в widows. Как видите update.exe в этом списке нет.

И самое главное самые последние версии антивирусного ПО "Kaspersky Internet Security 2009" и "ESET NOD32 Antivirus 4" не находят трояна в программе update.exe (утилита обновления ИС Параграф).

[Гость Den_KZ]

До последнего обновления McAfee не определял, update.exe как вирус...

Я не отрицаю возможности просто совпадения сигнатур...

Выложите пожалуйста тут файл update.exe из комплекта prg0257.dlt

[Гость Den_KZ]

Отправте файл update.exe в McAfee, пусть они проверят его, если там нет трояна, то они внесут корректировки в свою антивирусную базу...

[Александр Галаншин]

Загрузил от сюда http://www.freedrweb.com/ последнюю версию Dr.WEB CureIT и проверил им весь дистрибутив ИС Параграф.

Последняя версия Dr.WEB CureIT ничего не обнаружила.

Все пользователи McAfee могут также его загрузить и проверить.

[Гость Den_KZ]

CureIT - не нашел... у нас он только при запущенном McAfee поймал... причем не понятно кто именно поймал, повторить ситуацию не могу, это со слов админа, кто проверял машину...

Но очень странно, что на локальной машине, где удаленно запускается Paragraf, McAfee при запуске Параграфа убил трояна в update.exe.

На следующий день, на этом же компе, при полном сканировании в С:\volume Informational\... был снова обнаружен "троян"...

Вы случаем не пользуетесь каким либо упаковщиком exe-модулей... типа UPX, VMProtect и пр... ? а то очень часто антивирусы на них ругаются...

[Гость Den_KZ]

Немного поковырялся и выяснил следующее:

В файле update.exe начиная со смещения 0x000FDC80 - находится еще один исполнимый модуль формата PE - вот именно на него и ругается McAfee...

[Ivantsova Olga]

Мы выслали update.exe в лабораторию McAfee и получили ответ:

From: <Virus_Research@avertlabs.com>

To: <olga@prg.kz>

Sent: Wednesday, July 07, 2009 2:15 PM

Subject: 5399870 - Wrong McAfee detected trojan

AVERT Labs - Beaverton

Current Scan Engine Version:5300.2777

Current DAT Version:5669.0000

Thank you for your submission.

Analysis ID: 5399870

File Name_______|__Findings______|__Detection___|__Type__|__Extra__|

update.exe______|__ no malware__|_____________|________|__no____|

no malware [update.exe]

Avert Labs has found no indications of malicious code. Upon examining the file we

observed no malicious behavior.

Продолжаем переписку на предмет того, чтобы разработчики McAfee внесли изменения в свою базу данных.

[Ivantsova Olga]

Разработчики McAfee внесли коррективы в антивирусную базу. Рекомендую пользователям обновить антивирусные базы McAfee.

[Гость Den_KZ]

Спасибо большое....

P.S.

Пользователям McAfee VSE 8.7i - рекомендую установить Patch 1 и внимательно почитать readme к нему

[Катя К]

При работе в Параграфе (сетевая версия) Касперский нашел какой то вирус и блокировал доступ к Параграфу.

[Ivantsova Olga]

При работе в Параграфе (сетевая версия) Касперский нашел какой то вирус и блокировал доступ к Параграфу.

На какое число обновлен касперский? И, выложите отчет касперского.

[Катя К]

На какое число обновлен касперский? И, выложите отчет касперского.

Касперский обновлен на понедельник. Если бы я еще умела выкладывать отчеты, то было бы просто замечательно :biggrin:

[Ivantsova Olga]

Касперский обновлен на понедельник. Если бы я еще умела выкладывать отчеты, то было бы просто замечательно

свяжитесь с нами 2393327

[Ivantsova Olga]

Обозначения:

КАВ - Касперский антивирус.

Сервер - машина, на которой стоит ключ ИС ПАРАГРАФ.

Рабочая станция - один из компьютеров пользователей (их может быть несколько - кол-во зависит от кол-ва лицензий в ключе).

КАВ действительно заблокировал urloader.exe. Причина - urloader.exe начал проявлять активность, характерную для червей. Что делает urloader.exe, когда пользователь его запускает? После запуска urloader.exe с рабочей станции происходит проверка на соответствие (целостность, сборка) файлов на сервере (папка js_lawyer). Если на сервере присутствуют новые или обновленные файлы, то рабочая станция начинает закачивать их. Закачав разницу ИС ПАРАГРАФ запускается. ТАким образом работает urloader.exe.

Итак, если Вы сомневаетесь в том, что файл "чистый" проверьте этот файл любым другим онлайн-антивирусом (можно несколькими). Только после этого этот файл можно добавить в доверенную зону.

ps: Считаю, что Ваши действия были абсолютно правильными. Так же считаю, что Вам необходимо было об этом сообщить своему системному администратору.