CoderX :: Forums - Показать сообщение отдельно

NLObP · 05.08.2008, 15:48

Цитата:

Сообщение от BuKbI4

2. Почему КИС 7.0 (лицензия) + последний апдейт, определяет L2phx.exe i newkor.dll как трояны для кражи паролей? Причем до того, как я пытаюсь разархивировать архив.

Я 30.07.08 проверял его на VirusTotal - было нормально, а сейчас вот что:

Код:

Файл l2phx.exe получен 2008.08.05 12:04:19 (CET)
Текущий статус:   закончено
Результат: 5/36 (13.89%)
 Форматированные
Печать результатов  Антивирус   Версия  Обновление  Результат
AhnLab-V3   2008.8.5.0  2008.08.05  -
AntiVir 7.8.1.15    2008.08.05  -
Authentium  5.1.0.4 2008.08.04  -
Avast   4.8.1195.0  2008.08.05  -
AVG 8.0.0.156   2008.08.05  -
BitDefender 7.2 2008.08.05  -
CAT-QuickHeal   9.50    2008.08.04  -
ClamAV  0.93.1  2008.08.05  -
DrWeb   4.44.0.09170    2008.08.05  -
eSafe   7.0.17.0    2008.08.05  -
eTrust-Vet  31.6.6009   2008.08.05  -
Ewido   4.0 2008.08.04  -
F-Prot  4.4.4.56    2008.08.04  -
F-Secure    7.60.13501.0    2008.08.05  Trojan-PSW.Win32.LdPinch.yrh
Fortinet    3.14.0.0    2008.08.04  -
GData   2.0.7306.1023   2008.08.05  Trojan-PSW.Win32.LdPinch.yrh
Ikarus  T3.1.1.34.0 2008.08.05  -
K7AntiVirus 7.10.403    2008.08.04  -
Kaspersky   7.0.0.125   2008.08.05  Trojan-PSW.Win32.LdPinch.yrh
McAfee  5353    2008.08.04  -
Microsoft   1.3807  2008.08.05  -
NOD32v2 3327    2008.08.05  -
Norman  5.80.02 2008.08.04  -
Panda   9.0.0.4 2008.08.04  -
PCTools 4.4.2.0 2008.08.04  -
Prevx1  V2  2008.08.05  -
Rising  20.56.12.00 2008.08.05  -
Sophos  4.31.0  2008.08.05  Mal/Basine-C
Sunbelt 3.1.1537.1  2008.08.01  -
Symantec    10  2008.08.05  -
TheHacker   6.2.96.393  2008.08.04  -
TrendMicro  8.700.0.1004    2008.08.05  -
VBA32   3.12.8.2    2008.08.04  -
ViRobot 2008.8.4.1322   2008.08.04  -
VirusBuster 4.5.11.0    2008.08.04  -
Webwasher-Gateway   6.6.2   2008.08.05  Virus.Win32.FileInfector.gen!90 (suspicious)
Дополнительная информация
File size: 1624576 bytes
MD5...: e5c5abf045f3ac1a84f575efdaa15686
SHA1..: b1dfe838e8316d2b4c5ad4412c4e23d3ef95c346
SHA256: f0aa2938f70f7b7cd2b35fcb2303c8740e01b39730184ae422a92623668b8fbd
SHA512: 00bc0c2cbbb7da300c549948b8b51d95ecea6eb48fb3de47843bb093606f0886
de9f2baa5905ec6a042b9e77cfa316db215746bf059057159bc9b4fda0044260
PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x132938e0
timedatestamp.....: 0x488f8356 (Tue Jul 29 20:53:42 2008)
machinetype.......: 0x14c (I386)

Файл inject.dll получен 2008.07.24 20:26:53 (CET)
Текущий статус: закончено 
Результат: 6/35 (17.14%)
 Форматированные 
Печать результатов  Антивирус   Версия  Обновление  Результат
AhnLab-V3   -   -   -
AntiVir -   -   TR/ATRAPS.Gen
Authentium  -   -   -
Avast   -   -   Win32:Hupigon-HVE
AVG -   -   -
BitDefender -   -   -
CAT-QuickHeal   -   -   -
ClamAV  -   -   -
DrWeb   -   -   -
eSafe   -   -   -
eTrust-Vet  -   -   -
Ewido   -   -   -
F-Prot  -   -   -
F-Secure    -   -   -
Fortinet    -   -   -
GData   -   -   Win32:Hupigon-HVE
Ikarus  -   -   Trojan.Win32.Delf.nf
Kaspersky   -   -   -
McAfee  -   -   -
Microsoft   -   -   -
NOD32v2 -   -   -
Norman  -   -   -
Panda   -   -   -
PCTools -   -   -
Prevx1  -   -   -
Rising  -   -   -
Sophos  -   -   Mal/Behav-053
Sunbelt -   -   -
Symantec    -   -   -
TheHacker   -   -   -
TrendMicro  -   -   -
VBA32   -   -   -
ViRobot -   -   -
VirusBuster -   -   -
Webwasher-Gateway   -   -   Trojan.ATRAPS.Gen
Дополнительная информация
MD5: a2faa25c1fec37c399041b2d5449a3e7
SHA1: 61c951920afb84714515085e5caaf5952ff33a82
SHA256: f5532cc5d579b8ec7095e7c4849c35542bc0267d60f68dc9a929a083c5dfc4e8
SHA512: 92fb6878f5776a6310a6c541d89cd2f112665ab799267be18b80001fb1583fbc71fc4c08db70e325a078780f9c9ce6afa93bcf75403f4eb6fdab294b53e2c6f9

Мне кажется это излишняя эвристика.

Сравнение файлов сегодня и неделю назад скаченного

Код:

l2phx.exe и C:\DEVELOPMENT\LINEAGE2\L2PHX-320\L2PHX.EXE
FC: различия не найдены

Есть выход! Скомпилить из исходников самому, как я.

Код:

Файл l2pbx.exe получен 2008.08.05 12:15:26 (CET)
Текущий статус:    закончено 
Результат: 1/35 (2.86%) 
 Форматированные 
Печать результатов  Антивирус	Версия	Обновление	Результат
AhnLab-V3	2008.8.5.0	2008.08.05	-
AntiVir	7.8.1.15	2008.08.05	-
Authentium	5.1.0.4	2008.08.04	-
Avast	4.8.1195.0	2008.08.05	-
AVG	8.0.0.156	2008.08.05	-
BitDefender	7.2	2008.08.05	-
CAT-QuickHeal	9.50	2008.08.04	-
ClamAV	0.93.1	2008.08.05	-
DrWeb	4.44.0.09170	2008.08.05	-
eSafe	7.0.17.0	2008.08.05	-
eTrust-Vet	31.6.6009	2008.08.05	-
Ewido	4.0	2008.08.04	-
F-Prot	4.4.4.56	2008.08.04	-
Fortinet	3.14.0.0	2008.08.04	-
GData	2.0.7306.1023	2008.08.05	-
Ikarus	T3.1.1.34.0	2008.08.05	-
K7AntiVirus	7.10.403	2008.08.04	-
Kaspersky	7.0.0.125	2008.08.05	-
McAfee	5353	2008.08.04	-
Microsoft	1.3807	2008.08.05	-
NOD32v2	3327	2008.08.05	-
Norman	5.80.02	2008.08.04	-
Panda	9.0.0.4	2008.08.04	-
PCTools	4.4.2.0	2008.08.04	-
Prevx1	V2	2008.08.05	-
Rising	20.56.12.00	2008.08.05	-
Sophos	4.31.0	2008.08.05	-
Sunbelt	3.1.1537.1	2008.08.01	-
Symantec	10	2008.08.05	-
TheHacker	6.2.96.393	2008.08.04	-
TrendMicro	8.700.0.1004	2008.08.05	-
VBA32	3.12.8.2	2008.08.04	-
ViRobot	2008.8.4.1322	2008.08.04	-
VirusBuster	4.5.11.0	2008.08.04	-
Webwasher-Gateway	6.6.2	2008.08.05	Virus.Win32.FileInfector.gen!90 (suspicious)
Дополнительная информация
File size: 1641472 bytes
MD5...: 7cdd70b03272d6a2b99664b6df06ca8d
SHA1..: d5916f20b82c00ffc2fddd48561a20ca7874ed1a
SHA256: aa8e80f6e5c57f12a3c55eea0d065be4668381e19aa1270007958ed72c9f3e5d
SHA512: a148e3c4ca5f940fedbab0e17eac87c74b17962fd0ab08821caff3975f2644d6
98c97420bfaa612ca6ece9182a9582f0d6d60a41ec649ed77fce9366431e6fe8