Вход | Регистрация


1С:Предприятие :: 1С:Предприятие 8 общая

Троян в дистрибутиве обновления УПП [ложное срабатывание антивируса]

Троян в дистрибутиве обновления УПП [ложное срабатывание антивируса]
Я
   Пузан
 
20.02.18 - 07:12
Скачал с сайта поддержки 1С https://releases.1c.ru дистрибутив УПП 1.3.103.1. Конкретно updsetup.exe. Все как обычно. Запускаю - винда отказывается запускать, типа файл не подходит для запуска и сразу ругается Dr Web, что там вирь Trojan.BrowseBan.1926. Это чего такое?
 
 
   Пузан
 
1 - 20.02.18 - 07:15
Запустил щас сканер на быструю проверку. Возможно это у меня машина заражена и заражает файл в процессе загрузки. Но как-то странно.
   capllary_surgut
 
2 - 20.02.18 - 07:20
Вирустотал подтвердил наличие Win32.Trojan.WisdomEyes.16070401.9500.9690 в дистре обновления.
   Владимир Милькин
 
3 - 20.02.18 - 07:23
Установщик самого обновления (внутри updsetup.exe) подписан цифровой подписью, поэтому можно посмотреть изменялся ли этот файл уже после того как его подписала 1С.
   mehfk
 
4 - 20.02.18 - 07:28
(2) Ты сам-то этим "антивирусам" доверяешь?
https://www.virustotal.com/#/file/295e20e1046b311afc148fb000008bf6e7962966ca4a0196580aa18698a61ef7/detection
   Пузан
 
5 - 20.02.18 - 07:28
Проверил комп свой быстрой проверкой - все чисто.
   mehfk
 
6 - 20.02.18 - 07:31
(5) Если ссышь запускать updsetup.exe, распакуй его архиватором, а уже setup.exe из распакованного архива запускай.
   МимохожийОднако
 
7 - 20.02.18 - 07:31
В 1С напиши. Проверь Касперским или Нодом для начала.
   Пузан
 
8 - 20.02.18 - 07:32
(3) Dr Web щас даже скачать не дает. Сразу удаляет.
   Пузан
 
9 - 20.02.18 - 07:33
(7) Dr Web не достаточно авторитетный антивирь?
   capllary_surgut
 
10 - 20.02.18 - 07:34
(4) Сорняк, ты прав. Про этот байду так и пишут:

ошибочная идентификация зловредов в качестве безопасных файлов.
 
 Рекламное место пустует
   capllary_surgut
 
11 - 20.02.18 - 07:34
(10+)  Сорян... Т9
   МимохожийОднако
 
12 - 20.02.18 - 07:36
(9) Дело не в авторитете, а в разнообразии различных подходов.
   Пузан
 
13 - 20.02.18 - 07:39
(12) Щас проверили на другом компе штатным антивирем винды - ничего не нашел.
   Гипервизор
 
14 - 20.02.18 - 07:39
(12) Угу, тот еще подход. Никогда не забуду, как Dr.Web у меня с флешки вот так запросто грохнул поделку на HiAsm. Не забуду, не прощу.
   Пузан
 
15 - 20.02.18 - 07:39
Может кто щас скачает и проверит чем-нибудь еще?
   Amra
 
16 - 20.02.18 - 07:46
(15) КИС 2017 с последними обновлениями - ничего не нашел
   Пузан
 
17 - 20.02.18 - 07:54
Отправил файл в Dr Web как ложное срабатывание, посмотрим на их ответ.
   Пузан
 
18 - 20.02.18 - 07:55
(16) Спасибо. Пока буду считать, что ложное срабатывание.
   МимохожийОднако
 
19 - 20.02.18 - 07:57
Я бы сменил антивирус
   yurikmellon2
 
20 - 20.02.18 - 07:58
ESET тож ничего не нашёл
   Гипервизор
 
21 - 20.02.18 - 07:58
Подтверждаю, ДрВеб 11 ругается на Trojan.BrowseBan.1926.
Проверка через Kaspersky VirusDesk ничего не находит.
   mehfk
 
22 - 20.02.18 - 08:00
(14) Было у него такое.
   mehfk
 
23 - 20.02.18 - 08:00
(22)+ более 10 лет назад.
   Звездец
 
24 - 20.02.18 - 08:07
(23) Да, но 10 лет назад все антивирусы были несколько другими...
   zva
 
25 - 20.02.18 - 08:08
Правильно Dr.Web говорит:
"Trojan.BrowseBan - троянская программа, вынуждающая пользователей мошенническим путем оформить платную подписку."
http://www.comss.info/page.php?al=TrojanBrowseBan

Скачал обновление УПП - подпишись на ИТС.
   Dotoshin
 
26 - 20.02.18 - 08:22
(25) А тем, кто подписан, нормально дает скачать?
   Dotoshin
 
27 - 20.02.18 - 08:23
+ (26) :)
   lodger
 
28 - 20.02.18 - 08:25
KES10 чхать хотел на этот архив. )
   Звездец
 
29 - 20.02.18 - 08:26
(28) ну на моей практике он много на какие вирусы чхать хотел
   Симпатяга
 
30 - 20.02.18 - 08:27
(28) +1. Касперским не обнаружено
   lion11
 
31 - 20.02.18 - 08:36
Такая же ерунда. Написал в 1С, вот что ответили:
Здравствуйте!
Файлы дистрибутива не содержат вирус.
Проблема заключается в том, что некоторые антивирусные программы начали алгоритм саморазархивирующегося файла определять как вирус.
Большинство популярных  антивирусных программ в этих файлах вирус не обнаруживают.
Вы можете проверить, какие антивирусы и как реагируют на данный файл  на сайте http://www.virustotal.com.
Наши специалисты занимаются вопросом замены алгоритма разархивации. К сожалению, сроки замены назвать мы пока не можем.
   zak555
 
32 - 20.02.18 - 09:07
пора всем на ERP
   NorthWind
 
33 - 20.02.18 - 09:12
тю... а че все на уши-то встали? У веба это всю жизнь было. Я помню еще дет 20 назад был такой пакер экзешников AsPack, и мы лабы на дельфе студентами сдавали (или курсовые) и экзюки пожимали этим пакером. Так малахольный веб чуть всем сдачу не сорвал. В топку его.
 
 
   CHerypga
 
34 - 20.02.18 - 09:15
А у меня отключен антивирус, с ним ощущения не те. В субботу преспокойненько скачал 103 релиз и обновился
   NorthWind
 
35 - 20.02.18 - 09:16
еще был такой же случай и тоже с вебом - VBS скрипт я написал для архивации баз. Жил себе скрипт, работал... пока я внезапно не узнал что написал вирус. Веб взял и посносил его. Ни с того ни с сего, после очередного обновления.
   NorthWind
 
36 - 20.02.18 - 09:16
так что все что выдает веб - делите на десять. У него паранойя.
   Сияющий в темноте
 
37 - 20.02.18 - 09:29
Сейчас mail ru,например,не дает по почте отправить ни vbs ни js файл,не обращая внимание на содержимое,так что не всегда нужно верить антивирусам
а самое печальное,что шифровальщики большинство антивирусов пропускает
   Волшебник
 
Модератор
38 - 20.02.18 - 09:29
(36) паранойя — это хорошо
   Lama12
 
39 - 20.02.18 - 09:31
(31) Это старая ерунда. Антивирусники не хотят заморачиваться на анализе полиморфов, вот и пишут что все, что меняет исполняемые файлы является вирусом.
(38) Поддержу. Выживают - параноики.
   Пузан
 
40 - 20.02.18 - 09:44
Тех. поддержка Dr Web ответила: "Ваш запрос был проанализирован. Это срабатывание является ложным. Ошибка была исправлена."


Список тем форума
Рекламное место пустует  Рекламное место пустует
Выдавать глобальные идеи — это удовольствие; искать сволочные маленькие ошибки - вот настоящая работа.
Фредерик Брукс-младший
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует