Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Исрользование кряков, которые определяются как вирусы - насколько это опасно? (http://forum.oszone.net/showthread.php?t=110538)

medvedkovo 02-07-2008 17:30 840572
Исрользование кряков, которые определяются как вирусы - насколько это опасно?
 
Подскажите пожайлуста - возникла необходимость возпользоваться кряком для программы (прграмма нужна была на один раз и просто платить 2000 руб стало жалко). Касперский определил кряк как вирус! После установки программы произвел полную проверку Касперским и этот кряк он конечно удалил и больше никаких угроз не обнаружил! Насколько опасны такие эксперементы? Может стоит после этого проверить компьютер другим антивирусом?

Severny 02-07-2008 19:06 840688
medvedkovo,
Нужно было бы привести название того, как Касперский определил эту заразу.
Может это не вирус, а какой-нибудь упаковщик или hacktools.
А вообще в кряки очень часто заразу внедряют.
Можешь для спокойствия проверить сканером CureIt.
Для полного анализа выполни правила.

Котяра 02-07-2008 19:18 840703
NOD32 находит на пиратском диске с Cyberlink PowerDVD Deluxe 7.0 вирус "Win32/Spy.Banker Trojan" в кейгене.
Вот иконка файла (снимок сделан при выключенном антивирусе):

Кейген я не запускал и не буду.
Вот результат проверки.
Так есть ли в кейгене вирус?

_Aspire_ 02-07-2008 19:25 840711
Если кряк скачан с более-менне нормального сайта, то при проверке на virustotal часто определяются вирусом упаковщики. В инете есть примеры, как какой антивирус определяет упаковщик. Если на virustotal серьезные антивирусы молчат, а другие мене мощные и надежные орут, то больше вероятность того что там ничего нет. А вообще включайте кряки на виртуалке, регеньте нужные серийники и текстовичком забирайте на нормальную систему, если не уверены, что там и правда ниче нет.

Котяра скорее есть, чем нет. касперский и веб промолчали, а вот нод матюкается.

Severny 02-07-2008 19:34 840722
Цитата:
Цитата Котяра
Так есть ли в кейгене вирус? »
Классно. Кто как определял, то pws (кража паролей), кто downloalder (закачиватель вирусов), кто adaware,
а лучше всех
Цитата:
Sophos ------ Cyberlink PowerDVD v7.0 Keygen
:)

Котяра 02-07-2008 19:45 840728
Цитата:
Цитата _Aspire_
Если кряк скачан с более-менне нормального сайта »
Он лежит на CD-диске типа "Софт 2007".
Цитата:
Цитата Severny
Классно. Кто как определял, то pws (кража паролей), кто downloalder (закачиватель вирусов), кто adaware,
а лучше всех
Цитата:
Sophos ------ Cyberlink PowerDVD v7.0 Keygen »
Ниже:
Цитата:
Дополнительная информация
File size: 143360 bytes
MD5...: 62b273a2234f9ab09b4f95a300f51141
SHA1..: e6e1a89180d613eb1064bcb3365cfa920135d692
SHA256: d734a8478c216ce9202a810da044ea2e8b1d7c69f25d105b05aee8dd26a960f3
SHA512: df52869a18514cbc10313e8ffec8d794c915f9c1f0be546b7bc7e13d04ccb406
fa9cdb44e635b7bdaf8ca377e18339de3308f24a4971d9e403367fe093df0010
PEiD..: ExeShield Protector V3.6 -> www.exeshield.com
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x5e000 0x20c00 8.00 d29569d6cca0660ce7177b37081cb22b
.rsrc 0x5f000 0x2000 0x2000 6.39 5e493f321cfec36847364818bc596deb

( 8 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: VariantChangeTypeEx
> gdi32.dll: UnrealizeObject
> ole32.dll: IsEqualGUID
> comctl32.dll: ImageList_SetIconSize
> shell32.dll: ShellExecuteA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...5CA3006AF9D70D
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
Может, антивирус обнаруживает GetKeyboardType как кейлоггер? Это вроде определение типа клавиатуры.

CyberDaemon 02-07-2008 21:47 840839
Запускал я тут "кейген". Касперский, с базами трехдневной давности, на скачанный файл внимания не обратил, но при попытке запуска предупредил, что процесс выполняет подозрительные действия - пытается скрытно установиться в систему и спросил у меня, что делать. Ради эксперимента, я это действие разрешил. А когда нечто из временной папки попыталось вылезти в интернет - тут никаких сомнений в назначении "кейгена" уже не осталось. Процесс был прибит, в автозагрузку оно попасть не успело, а на следующий день Касперский со свежими базами уже уверенно определял пациента как троян-донлоадера. И уже не позволял его запускать - сразу начинал верещать и ругаться. Может быть, скачав трояна, "кейген" отдал бы мне, в качестве моральной компенсации, ключик, но настолько мое любопытство не распространялось.

Котяра 02-07-2008 22:05 840852
Цитата:
Цитата CyberDaemon
А когда нечто из временной папки попыталось вылезти в интернет »
%Temp%\winlogon.exe?
Или из Temporary Internet Files?

medvedkovo 02-07-2008 22:13 840858
Вот блин - ни хрена почти не понял!!!
Попробую систематизировать:

1 вариант -
Цитата:
Цитата Severny
Можешь для спокойствия проверить сканером CureIt.
Для полного анализа выполни правила. »
2 вариант -
Цитата:
Цитата _Aspire_
Если кряк скачан с более-менне нормального сайта, то при проверке на virustotal часто определяются вирусом упаковщики. В инете есть примеры, как какой антивирус определяет упаковщик. Если на virustotal серьезные антивирусы молчат, а другие мене мощные и надежные орут, то больше вероятность того что там ничего нет. А вообще включайте кряки на виртуалке, регеньте нужные серийники и текстовичком забирайте на нормальную систему, если не уверены, что там и правда ниче нет. »
Так пойдет?

CyberDaemon 02-07-2008 23:50 840944
Котяра
Из %USERPROFILE%\Local Settings\Temp

Котяра 03-07-2008 00:13 840962
Цитата:
Цитата CyberDaemon
Котяра
Из %USERPROFILE%\Local Settings\Temp »
Кто? winlogon.exe?

medvedkovo 03-07-2008 10:22 841155
Severny,
А вот эти штуки не опасны и как их от вирусов отличить?
Цитата:
Цитата medvedkovo
Может это не вирус, а какой-нибудь упаковщик или hacktools. »

DillerInc 03-07-2008 12:49 841254
Если вы пользуетесь кряками,то скачивайте их с сайтов команд,которые их релизили.Либо из провереных мест.
Потому как многие кряк-порталы начинают зарабатывать деньги на том,что пихают в кряки всякую срань вроде троянов.
С другой стороны,если те же разработчики каспера не могут снять какой-нибудь VMProtect с потенциального вируса,чтобы изучить последний,то они просто внаглую заносят сигнатуру этого VMProtect'а в свою базу.

Котяра 03-07-2008 13:59 841322
Цитата:
Цитата medvedkovo
Severny,
А вот эти штуки не опасны и как их от вирусов отличить?
Цитата medvedkovo:
Может это не вирус, а какой-нибудь упаковщик или hacktools. » »
Упаковщики - нет.
HackTools - туда, например, входит утилита reboot.exe.

ackerman2007 04-07-2008 07:51 841956
да все просто, у меня NOD постоянно ругался на "честные" кряки (которые были безвредны), а Касперский молчал. зато Касперсий ловил других зловредов. ИМХО если Касперский на него ругается, то надо задуматься.

gorill 12-07-2008 09:36 849453
Цитата:
Цитата _Aspire_
серьезные антивирусы молчат »
А что понимаете под серьезными?Например, когда поначалу стоял МакАфи, то он с завидной регулярностью убивал и собственного кряка,проблема заинтерсовала, сейчас поставил лицензионный Нортон, умышленно скачивал ненужные кряки(около десятка),примерно половина им убита, в том же наборе кряков на другой машине Каспер убил другую половину. И кому верить? Дело не в кряках, а в срабатываниях.К примеру, утилиту Escape Close, по принципу работы клавиатурный шпион, ни один из вышеприведенной троицы не опознает(к счастью :) )

Severny 12-07-2008 12:11 849518
Цитата:
Цитата gorill
то он с завидной регулярностью убивал и собственного кряка »
Почему бы антивирусу не убивать собственный кряк? Это проблема твоя, а не антивируса.

Цитата:
Цитата gorill
Escape Close, по принципу работы клавиатурный шпион »
Что-то не видно этих принципов в этой утилите.

yurfed 12-07-2008 12:38 849539
Люди, ну неужели вы не знаете что все "патчеры" и "кряки" несут в себе функциональность вируса как то - замена кода програмы.
Для "кейгенов" отдельный случай. "Настоящий кейген" это выдернутый из програмы кусок кода, отвечающий за генерацию ключей, с прикрученым к нему GUI от "кейгенописателя", ни как не определяется как вирус. Конечно и в "кейген" можно прикрутить всё что угодно. Вот тогда, когда на кейген ругается антивирус, стоит задуматься.
А вообще, когда не уверен, делаю снимок системы с помощью AShamoo Uninstaller и смотрю на записи в реестре и новые/изменённые файлы после запуска ломалки.

gorill 12-07-2008 16:03 849692
Цитата:
Цитата Severny
Что-то не видно этих принципов в этой утилите »
Видно невооруженным глазом + AVZ неизменно сообщает о негодяе, скрывающемся под невинным личиком :)

Severny 12-07-2008 17:01 849745
Цитата:
Цитата gorill
Видно невооруженным глазом »
Ты можешь этим воспользоваться? Т.е. мониторить нажатие клавиш?
Цитата:
Цитата gorill
AVZ неизменно сообщает о негодяе »
AVZ много о чем сообщает. Это лишь поведенческий анализ.


Время: 01:42.

Время: 01:42.
© OSzone.net 2001-