Перейти к контенту
КАЗАХСТАНСКИЙ ЮРИДИЧЕСКИЙ ФОРУМ

При запуске ИС ПАРАГРАФ Антивирус McAfee "ругается"


Рекомендуемые сообщения

При запуске ИС ПАРАГРАФ Антивирус McAfee сообщает о том, что модуль update.exe, с которым работает ИС ПАРАГРАФ, заражен вирусом BacKDoor-CWA. Мы провели ряд тестов на основании информации, опубликованной на сайте разработчика, проверили update.exe несколькими другими антивирусными системами (в том числе online-антивриусами) и сделали вывод - файл не заражен.

При возникновении этого сообщения:

mcafee.bmp

необходимо файл Update.exe добавить в доверенную зону.

Ссылка на комментарий
Поделиться на других сайтах

При запуске ИС ПАРАГРАФ Антивирус McAfee сообщает о том, что модуль update.exe, с которым работает ИС ПАРАГРАФ, заражен вирусом BacKDoor-CWA. Мы провели ряд тестов на основании информации, опубликованной на сайте разработчика и сделали вывод - файл не заражен.

При возникновении этого сообщения:

mcafee.bmp

необходимо файл Update.exe добавить в доверенную зону.

НИ В КОЕМ СЛУЧАЕ !!!!

Если бы это было ложное срабатывания, то какого черта его же (трояна) находят в первой строчке в C:\System Volume Information\... - или ваш Update.exe сам туда его прописывает ?

К тому же Dr.WEB CureIT - его тоже детектирует...

P.S.

А не сами Вы случаем туда "закладку" внедрили ?

Ссылка на комментарий
Поделиться на других сайтах

НИ В КОЕМ СЛУЧАЕ !!!!

Если бы это было ложное срабатывания, то какого черта его же (трояна) находят в первой строчке в C:\System Volume Information\... - или ваш Update.exe сам туда его прописывает ?

Не мудрено, что антивирус детектировал угрозу в папке C:\System Volume Information - здесь находится кэш службы восстановления системы, а именно копии системных файлов, ключей реестра, инсталлированных программ и т.д.

Мы проверили дистрибутивы за 2008 год, сохраненный на лазерных носителях (!!!) и обновленный на 1 июля 2009 года McAfee так же детектировал update.exe как троян. Что вы на это скажите?

К тому же Dr.WEB CureIT - его тоже детектирует...

P.S.

А не сами Вы случаем туда "закладку" внедрили ?

Прошу предоставить скриншот экрана и/либо логи сканера, где Dr.WEB CureIT "ругается" на update.exe.

ps: Пользователям рекомендую:

1. Провести тесты на основании информации, которую публикует разработчик McAfee на своем сайте, а именно - проверить реестр на наличие специфичных веток.

2. По возможности проверить память, жесткие диски.. другими антивирусными системами.

3. Провести проверку подозреваемого файла online-антивирусами.

Также обратите внимание на:

Virus Characteristics

The Trojan establishes itself as a system service in order to ensure it runs whenever the system is active. Versions have been seen that use Apple's iPod Hardware Management Services name ("iPodSrv") or the name of Microsoft's Internet Authentication Service ("IAS").

Здеь сказано что троян прописывает себя как системный сервис. Либо как Apple's iPod Hardware Management Services name ("iPodSrv"), либо как Microsoft's Internet Authentication Service ("IAS"). Утилита обновления никогда себя как системный сервис не прописывает.

Files Added

Either one or two DLLs are used.

In the case of the "IAS" named version:

%WinDir%\System32\iasrv.dll (19 KB)

The "iPodSrv" version makes use of two separate files:

%WinDir%\System32\ntmorlib.dll (12 KB)

%WinDir%\System32\ipodsrv.dll (7 KB)

Здесь сказано где и под какими именами этот троян записан в widows. Как видите update.exe в этом списке нет.

И самое главное самые последние версии антивирусного ПО "Kaspersky Internet Security 2009" и "ESET NOD32 Antivirus 4" не находят трояна в программе update.exe (утилита обновления ИС Параграф).

Ссылка на комментарий
Поделиться на других сайтах

До последнего обновления McAfee не определял, update.exe как вирус...

Я не отрицаю возможности просто совпадения сигнатур...

Выложите пожалуйста тут файл update.exe из комплекта prg0257.dlt

Ссылка на комментарий
Поделиться на других сайтах

Отправте файл update.exe в McAfee, пусть они проверят его, если там нет трояна, то они внесут корректировки в свою антивирусную базу...

Ссылка на комментарий
Поделиться на других сайтах

Загрузил от сюда http://www.freedrweb.com/ последнюю версию Dr.WEB CureIT и проверил им весь дистрибутив ИС Параграф.

Последняя версия Dr.WEB CureIT ничего не обнаружила.

Все пользователи McAfee могут также его загрузить и проверить.

Ссылка на комментарий
Поделиться на других сайтах

CureIT - не нашел... у нас он только при запущенном McAfee поймал... причем не понятно кто именно поймал, повторить ситуацию не могу, это со слов админа, кто проверял машину...

Но очень странно, что на локальной машине, где удаленно запускается Paragraf, McAfee при запуске Параграфа убил трояна в update.exe.

На следующий день, на этом же компе, при полном сканировании в С:\volume Informational\... был снова обнаружен "троян"...

Вы случаем не пользуетесь каким либо упаковщиком exe-модулей... типа UPX, VMProtect и пр... ? а то очень часто антивирусы на них ругаются...

Ссылка на комментарий
Поделиться на других сайтах

Немного поковырялся и выяснил следующее:

В файле update.exe начиная со смещения 0x000FDC80 - находится еще один исполнимый модуль формата PE - вот именно на него и ругается McAfee...

Ссылка на комментарий
Поделиться на других сайтах

Мы выслали update.exe в лабораторию McAfee и получили ответ:

From: <Virus_Research@avertlabs.com>

To: <olga@prg.kz>

Sent: Wednesday, July 07, 2009 2:15 PM

Subject: 5399870 - Wrong McAfee detected trojan

AVERT Labs - Beaverton

Current Scan Engine Version:5300.2777

Current DAT Version:5669.0000

Thank you for your submission.

Analysis ID: 5399870

File Name_______|__Findings______|__Detection___|__Type__|__Extra__|

update.exe______|__ no malware__|_____________|________|__no____|

no malware [update.exe]

Avert Labs has found no indications of malicious code. Upon examining the file we

observed no malicious behavior.

Продолжаем переписку на предмет того, чтобы разработчики McAfee внесли изменения в свою базу данных.

Ссылка на комментарий
Поделиться на других сайтах

Разработчики McAfee внесли коррективы в антивирусную базу. Рекомендую пользователям обновить антивирусные базы McAfee.

Ссылка на комментарий
Поделиться на других сайтах

  • 2 weeks later...

При работе в Параграфе (сетевая версия) Касперский нашел какой то вирус и блокировал доступ к Параграфу.

Ссылка на комментарий
Поделиться на других сайтах

При работе в Параграфе (сетевая версия) Касперский нашел какой то вирус и блокировал доступ к Параграфу.

На какое число обновлен касперский? И, выложите отчет касперского.

Ссылка на комментарий
Поделиться на других сайтах

На какое число обновлен касперский? И, выложите отчет касперского.

Касперский обновлен на понедельник. Если бы я еще умела выкладывать отчеты, то было бы просто замечательно :biggrin:

Ссылка на комментарий
Поделиться на других сайтах

Касперский обновлен на понедельник. Если бы я еще умела выкладывать отчеты, то было бы просто замечательно :biggrin:

свяжитесь с нами 2393327

Ссылка на комментарий
Поделиться на других сайтах

Обозначения:

КАВ - Касперский антивирус.

Сервер - машина, на которой стоит ключ ИС ПАРАГРАФ.

Рабочая станция - один из компьютеров пользователей (их может быть несколько - кол-во зависит от кол-ва лицензий в ключе).

КАВ действительно заблокировал urloader.exe. Причина - urloader.exe начал проявлять активность, характерную для червей. Что делает urloader.exe, когда пользователь его запускает? После запуска urloader.exe с рабочей станции происходит проверка на соответствие (целостность, сборка) файлов на сервере (папка js_lawyer). Если на сервере присутствуют новые или обновленные файлы, то рабочая станция начинает закачивать их. Закачав разницу ИС ПАРАГРАФ запускается. ТАким образом работает urloader.exe.

Итак, если Вы сомневаетесь в том, что файл "чистый" проверьте этот файл любым другим онлайн-антивирусом (можно несколькими). Только после этого этот файл можно добавить в доверенную зону.

ps: Считаю, что Ваши действия были абсолютно правильными. Так же считаю, что Вам необходимо было об этом сообщить своему системному администратору.

Ссылка на комментарий
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

  • Недавно просматривали   0 пользователей

    • Ни один зарегистрированный пользователь не просматривает эту страницу.
  • Upcoming Events

    No upcoming events found
  • Recent Event Reviews

×

Важная информация

Правила форума Условия использования