Цитата:
Сообщение от BuKbI4
2. Почему КИС 7.0 (лицензия) + последний апдейт, определяет L2phx.exe i newkor.dll как трояны для кражи паролей? Причем до того, как я пытаюсь разархивировать архив.
|
Я 30.07.08 проверял его на VirusTotal - было нормально, а сейчас вот что:
Код:
Файл l2phx.exe получен 2008.08.05 12:04:19 (CET)
Текущий статус: закончено
Результат: 5/36 (13.89%)
Форматированные
Печать результатов Антивирус Версия Обновление Результат
AhnLab-V3 2008.8.5.0 2008.08.05 -
AntiVir 7.8.1.15 2008.08.05 -
Authentium 5.1.0.4 2008.08.04 -
Avast 4.8.1195.0 2008.08.05 -
AVG 8.0.0.156 2008.08.05 -
BitDefender 7.2 2008.08.05 -
CAT-QuickHeal 9.50 2008.08.04 -
ClamAV 0.93.1 2008.08.05 -
DrWeb 4.44.0.09170 2008.08.05 -
eSafe 7.0.17.0 2008.08.05 -
eTrust-Vet 31.6.6009 2008.08.05 -
Ewido 4.0 2008.08.04 -
F-Prot 4.4.4.56 2008.08.04 -
F-Secure 7.60.13501.0 2008.08.05 Trojan-PSW.Win32.LdPinch.yrh
Fortinet 3.14.0.0 2008.08.04 -
GData 2.0.7306.1023 2008.08.05 Trojan-PSW.Win32.LdPinch.yrh
Ikarus T3.1.1.34.0 2008.08.05 -
K7AntiVirus 7.10.403 2008.08.04 -
Kaspersky 7.0.0.125 2008.08.05 Trojan-PSW.Win32.LdPinch.yrh
McAfee 5353 2008.08.04 -
Microsoft 1.3807 2008.08.05 -
NOD32v2 3327 2008.08.05 -
Norman 5.80.02 2008.08.04 -
Panda 9.0.0.4 2008.08.04 -
PCTools 4.4.2.0 2008.08.04 -
Prevx1 V2 2008.08.05 -
Rising 20.56.12.00 2008.08.05 -
Sophos 4.31.0 2008.08.05 Mal/Basine-C
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.05 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.05 -
VBA32 3.12.8.2 2008.08.04 -
ViRobot 2008.8.4.1322 2008.08.04 -
VirusBuster 4.5.11.0 2008.08.04 -
Webwasher-Gateway 6.6.2 2008.08.05 Virus.Win32.FileInfector.gen!90 (suspicious)
Дополнительная информация
File size: 1624576 bytes
MD5...: e5c5abf045f3ac1a84f575efdaa15686
SHA1..: b1dfe838e8316d2b4c5ad4412c4e23d3ef95c346
SHA256: f0aa2938f70f7b7cd2b35fcb2303c8740e01b39730184ae422a92623668b8fbd
SHA512: 00bc0c2cbbb7da300c549948b8b51d95ecea6eb48fb3de47843bb093606f0886
de9f2baa5905ec6a042b9e77cfa316db215746bf059057159bc9b4fda0044260
PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x132938e0
timedatestamp.....: 0x488f8356 (Tue Jul 29 20:53:42 2008)
machinetype.......: 0x14c (I386)
Файл inject.dll получен 2008.07.24 20:26:53 (CET)
Текущий статус: закончено
Результат: 6/35 (17.14%)
Форматированные
Печать результатов Антивирус Версия Обновление Результат
AhnLab-V3 - - -
AntiVir - - TR/ATRAPS.Gen
Authentium - - -
Avast - - Win32:Hupigon-HVE
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Hupigon-HVE
Ikarus - - Trojan.Win32.Delf.nf
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/Behav-053
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.ATRAPS.Gen
Дополнительная информация
MD5: a2faa25c1fec37c399041b2d5449a3e7
SHA1: 61c951920afb84714515085e5caaf5952ff33a82
SHA256: f5532cc5d579b8ec7095e7c4849c35542bc0267d60f68dc9a929a083c5dfc4e8
SHA512: 92fb6878f5776a6310a6c541d89cd2f112665ab799267be18b80001fb1583fbc71fc4c08db70e325a078780f9c9ce6afa93bcf75403f4eb6fdab294b53e2c6f9
Мне кажется это излишняя эвристика.
Сравнение файлов сегодня и неделю назад скаченного
Код:
l2phx.exe и C:\DEVELOPMENT\LINEAGE2\L2PHX-320\L2PHX.EXE
FC: различия не найдены
Есть выход! Скомпилить из исходников самому, как я.
Код:
Файл l2pbx.exe получен 2008.08.05 12:15:26 (CET)
Текущий статус: закончено
Результат: 1/35 (2.86%)
Форматированные
Печать результатов Антивирус Версия Обновление Результат
AhnLab-V3 2008.8.5.0 2008.08.05 -
AntiVir 7.8.1.15 2008.08.05 -
Authentium 5.1.0.4 2008.08.04 -
Avast 4.8.1195.0 2008.08.05 -
AVG 8.0.0.156 2008.08.05 -
BitDefender 7.2 2008.08.05 -
CAT-QuickHeal 9.50 2008.08.04 -
ClamAV 0.93.1 2008.08.05 -
DrWeb 4.44.0.09170 2008.08.05 -
eSafe 7.0.17.0 2008.08.05 -
eTrust-Vet 31.6.6009 2008.08.05 -
Ewido 4.0 2008.08.04 -
F-Prot 4.4.4.56 2008.08.04 -
Fortinet 3.14.0.0 2008.08.04 -
GData 2.0.7306.1023 2008.08.05 -
Ikarus T3.1.1.34.0 2008.08.05 -
K7AntiVirus 7.10.403 2008.08.04 -
Kaspersky 7.0.0.125 2008.08.05 -
McAfee 5353 2008.08.04 -
Microsoft 1.3807 2008.08.05 -
NOD32v2 3327 2008.08.05 -
Norman 5.80.02 2008.08.04 -
Panda 9.0.0.4 2008.08.04 -
PCTools 4.4.2.0 2008.08.04 -
Prevx1 V2 2008.08.05 -
Rising 20.56.12.00 2008.08.05 -
Sophos 4.31.0 2008.08.05 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.05 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.05 -
VBA32 3.12.8.2 2008.08.04 -
ViRobot 2008.8.4.1322 2008.08.04 -
VirusBuster 4.5.11.0 2008.08.04 -
Webwasher-Gateway 6.6.2 2008.08.05 Virus.Win32.FileInfector.gen!90 (suspicious)
Дополнительная информация
File size: 1641472 bytes
MD5...: 7cdd70b03272d6a2b99664b6df06ca8d
SHA1..: d5916f20b82c00ffc2fddd48561a20ca7874ed1a
SHA256: aa8e80f6e5c57f12a3c55eea0d065be4668381e19aa1270007958ed72c9f3e5d
SHA512: a148e3c4ca5f940fedbab0e17eac87c74b17962fd0ab08821caff3975f2644d6
98c97420bfaa612ca6ece9182a9582f0d6d60a41ec649ed77fce9366431e6fe8