Странная история

Discussion:

Странная история

(слишком старое сообщение для ответа)

Alexander Klimenko

2008-10-23 05:00:00 UTC

Добрый день, All.

Есть софтина, которая периодически обновляется через инет. Закачивается
патч, который потом запускается на выполнение. Схема отлажена, работает давно.
Сегодня при очередном обновлении спайдер сообщил, что закачиваемый патч -
троян. Trojan.PWS.Wsgame.origin, размером 82000 байта, если быть точным.
В источнике файл чистый - это я проверил первым делом. И другого, правильного
размера. Стало быть, заражение происходит по дороге. Стал исследовать. И вот
вылезла совершенно непонятная мне вещь - может, кто пояснит.

Если поставить спайдер на паузу - приостановить мониторнг - то скачивается
нормальный файл патча. В котором дальнейшая проверка не находит никаких следов
вируса. Если же скачивать патч при работающем спайдере, то скачивается
вышеупомянутый троян. Проверялось на 4-х компах - с абсолютно одинаковым
результатом. ... :( Hа пятом компе веба отключили совсем, поставили нод32
- тоже скачался нормальный файл патча. Получается, что к скачиванию трояна
приводит наличие работающего спайдера. Понимаю, что бред, но так получается.
Кто-нить подскажите, как всё это объяснить рационально, плиз!

С уважением
Александp Клименко

Ровно, Украина

Чет Окт 23 2008
-+- GoldED+/W32 1.1.4.7

Alexander Klimenko

2008-10-23 05:56:00 UTC

Permalink

Добрый день, All.

Чет Окт 23 2008 10:00
Alexander Klimenko пишет к All:

AK> Есть софтина, которая периодически обновляется через инет.

Уже сам разобрался. :) Что оказалось: если из патча вырезать первые 82000
байта и записать отдельным файлом, то дрвеб детектит в этом куске трояна.
Проверил на вирустотале - другие антивири ничего в фрагменте не находят.
Проверил весь патч целиком - 100% чистота, включая и дрвеб. Судя по всему,
ложное срабатывание. Hо на всякий случай выслал на вируслаб.

С уважением
Александp Клименко

Ровно, Украина

Чет Окт 23 2008
-+- GoldED+/W32 1.1.4.7

Alexey Podtoptalow

2008-10-23 16:25:56 UTC

Permalink

Thu Oct 23 2008 09:56, Alexander Klimenko wrote to All:

AK> Уже сам разобрался. :) Что оказалось: если из патча вырезать первые
AK> 82000 байта и записать отдельным файлом, то дрвеб детектит в этом куске
AK> трояна.
Круто :).
Известные мне Trojan.PWS.Wsgame.origin все размером ок. 19 - 20 кБ. И это
действительно Trojan.PWS.Wsgame, только свежак ещё.
AK> Проверил на вирустотале - другие антивири ничего в фрагменте не находят.
AK> Проверил весь патч целиком - 100% чистота, включая и дрвеб. Судя по
AK> всему, ложное срабатывание. Hо на всякий случай выслал на вируслаб.
М-да, видимо, это плата за ту кучу детектов, которые дал этот .origin.

Alexander Cherepanov

2008-10-24 00:46:54 UTC

Permalink

Hello, Alexey!
On Thu, 23 Oct 2008 16:25:56 +0000 (UTC), Alexey Podtoptalow (AP)
in news:***@www.fido-online.com wrote to Alexander Klimenko:

AK>> Уже сам разобрался. :) Что оказалось: если из патча вырезать первые
AK>> 82000 байта и записать отдельным файлом, то дрвеб детектит в этом куске
AK>> трояна.

AP> Круто :).
AP> Известные мне Trojan.PWS.Wsgame.origin все размером ок. 19 - 20 кБ. И
AP> это действительно Trojan.PWS.Wsgame, только свежак ещё.

Специально не проверял, но только что попался Trojan.PWS.Wsgame.origin
размером 13824 байт: hxxp://fanduizd.cn/hb/33.exe ,
md5=6c14723852df6b5effcac23524239eab

Саша