Вопрос - Исрользование кряков, которые определяются как вирусы

Severny · Отправлено: **19:06, 02-07-2008** | #2

medvedkovo,
Нужно было бы привести название того, как Касперский определил эту заразу.
Может это не вирус, а какой-нибудь упаковщик или hacktools.
А вообще в кряки очень часто заразу внедряют.
Можешь для спокойствия проверить сканером CureIt.
Для полного анализа выполни правила.

Котяра · Конфигурация компьютера

NOD32 находит на пиратском диске с Cyberlink PowerDVD Deluxe 7.0 вирус "Win32/Spy.Banker Trojan" в кейгене.
Вот иконка файла (снимок сделан при выключенном антивирусе):

Кейген я не запускал и не буду.
Вот результат проверки.
Так есть ли в кейгене вирус?

_Aspire_ · Отправлено: **19:25, 02-07-2008** | #4

Если кряк скачан с более-менне нормального сайта, то при проверке на virustotal часто определяются вирусом упаковщики. В инете есть примеры, как какой антивирус определяет упаковщик. Если на virustotal серьезные антивирусы молчат, а другие мене мощные и надежные орут, то больше вероятность того что там ничего нет. А вообще включайте кряки на виртуалке, регеньте нужные серийники и текстовичком забирайте на нормальную систему, если не уверены, что там и правда ниче нет.

Котяра скорее есть, чем нет. касперский и веб промолчали, а вот нод матюкается.

Severny · Отправлено: **19:34, 02-07-2008** | #5

Цитата Котяра:

Так есть ли в кейгене вирус? »

Классно. Кто как определял, то pws (кража паролей), кто downloalder (закачиватель вирусов), кто adaware,
а лучше всех

Цитата:

Sophos ------ Cyberlink PowerDVD v7.0 Keygen

Котяра · Конфигурация компьютера

Цитата _Aspire_:

Если кряк скачан с более-менне нормального сайта »

Он лежит на CD-диске типа "Софт 2007".

Цитата Severny:

Классно. Кто как определял, то pws (кража паролей), кто downloalder (закачиватель вирусов), кто adaware,
а лучше всех
Цитата:
Sophos ------ Cyberlink PowerDVD v7.0 Keygen »

Ниже:

Цитата:

Дополнительная информация
File size: 143360 bytes
MD5...: 62b273a2234f9ab09b4f95a300f51141
SHA1..: e6e1a89180d613eb1064bcb3365cfa920135d692
SHA256: d734a8478c216ce9202a810da044ea2e8b1d7c69f25d105b05aee8dd26a960f3
SHA512: df52869a18514cbc10313e8ffec8d794c915f9c1f0be546b7bc7e13d04ccb406
fa9cdb44e635b7bdaf8ca377e18339de3308f24a4971d9e403367fe093df0010
PEiD..: ExeShield Protector V3.6 -> www.exeshield.com
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x5e000 0x20c00 8.00 d29569d6cca0660ce7177b37081cb22b
.rsrc 0x5f000 0x2000 0x2000 6.39 5e493f321cfec36847364818bc596deb

( 8 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: VariantChangeTypeEx
> gdi32.dll: UnrealizeObject
> ole32.dll: IsEqualGUID
> comctl32.dll: ImageList_SetIconSize
> shell32.dll: ShellExecuteA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...5CA3006AF9D70D
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact

Может, антивирус обнаруживает GetKeyboardType как кейлоггер? Это вроде определение типа клавиатуры.

CyberDaemon · Отправлено: **21:47, 02-07-2008** | #7

Запускал я тут "кейген". Касперский, с базами трехдневной давности, на скачанный файл внимания не обратил, но при попытке запуска предупредил, что процесс выполняет подозрительные действия - пытается скрытно установиться в систему и спросил у меня, что делать. Ради эксперимента, я это действие разрешил. А когда нечто из временной папки попыталось вылезти в интернет - тут никаких сомнений в назначении "кейгена" уже не осталось. Процесс был прибит, в автозагрузку оно попасть не успело, а на следующий день Касперский со свежими базами уже уверенно определял пациента как троян-донлоадера. И уже не позволял его запускать - сразу начинал верещать и ругаться. Может быть, скачав трояна, "кейген" отдал бы мне, в качестве моральной компенсации, ключик, но настолько мое любопытство не распространялось.

Котяра · Конфигурация компьютера

Цитата CyberDaemon:

А когда нечто из временной папки попыталось вылезти в интернет »

%Temp%\winlogon.exe?
Или из Temporary Internet Files?

medvedkovo · Конфигурация компьютера

Вот блин - ни хрена почти не понял!!!
Попробую систематизировать:

1 вариант -

Цитата Severny:

Можешь для спокойствия проверить сканером CureIt.
Для полного анализа выполни правила. »

2 вариант -

Цитата _Aspire_:

Если кряк скачан с более-менне нормального сайта, то при проверке на virustotal часто определяются вирусом упаковщики. В инете есть примеры, как какой антивирус определяет упаковщик. Если на virustotal серьезные антивирусы молчат, а другие мене мощные и надежные орут, то больше вероятность того что там ничего нет. А вообще включайте кряки на виртуалке, регеньте нужные серийники и текстовичком забирайте на нормальную систему, если не уверены, что там и правда ниче нет. »

Так пойдет?

CyberDaemon · Отправлено: **23:50, 02-07-2008** | #10

Котяра
Из %USERPROFILE%\Local Settings\Temp