Касперский нашел вирус

[SeregaVIP]

Добрый день. Сегодня при запуске зеннопостера словил репорт от касперского, до этого проблемы никогда не было. Вопрос к администрации, всё ли нормально с софтом? Бывали случаи что у крупных компаний, без злого умысла, компилятор заражался вирусом и потом итоговая сборка была заражена.

Событие: Обнаружен вредоносный объект
Пользователь: SEREGA\Серёга
Тип пользователя: Активный пользователь
Имя программы: instance_cr_helper_sta.exe
Путь к программе: C:\Program Files\ZennoLab\RU\ZennoPoster Pro V7\7.6.0.0\Progs
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.MSIL.Agent.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: zx_f217a7fc73a8410c06b9607780ab0d88.dll
Путь к объекту: C:\Users\Серёга\AppData\Local\Temp\23379eebf2174a39c6b323626d03782f
MD5: E9062E3A217E018BE20E4FC5F6CCD227
Причина: Машинное обучение
Дата выпуска баз: Сегодня, 18.01.2022 10:36:00

 

[Yuriy Zymlex]

Сравните (из релизной версии):
https://www.virustotal.com/gui/file/0d2a0b2caf60c878dae1d74183fa8cd6d9ca1145849e403183d2da120cbe4afe

Но со свежими бинарниками может быть такая проблема.
Например, если это процесс для подключения к сети, то клиенты с касперским, лазя по сомнительным сайтам могут привести к подобному, так как касперский объединён в сеть и отправляет инфу.
Аналогично и с проксичекером.

 

[SeregaVIP]

Тут, я как понял процесс создал какую-то дллку, и именно в ней что-то нашел каспер, попробую восстановить из карантина и протестить на вирустотале

 

[SeregaVIP]

VirusTotal

VirusTotal

www.virustotal.com

2 антивируса что-то нашли в дллке куда обращался прцоесс, этот процесс instance_cr_helper_sta.exe что-то откуда-то качает?

 

[SeregaVIP]

И вот сама DLL:

Событие: Обнаружен вредоносный объект
Пользователь: SEREGA\Серёга
Тип пользователя: Активный пользователь
Имя программы: SearchProtocolHost.exe
Путь к программе: C:\Windows\System32
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянская программа
Название: UDS:Trojan.MSIL.Agent.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: zx_f217a7fc73a8410c06b9607780ab0d88.dll
Путь к объекту: C:\Users\Серёга\Desktop
MD5: E9062E3A217E018BE20E4FC5F6CCD227
Причина: Облачная защита

 

[Mikhail B.]

2 антивируса что-то нашли

Ну это маловато)

 

[Yuriy Zymlex]

VirusTotal

VirusTotal

www.virustotal.com

2 антивируса что-то нашли в дллке куда обращался прцоесс, этот процесс instance_cr_helper_sta.exe что-то откуда-то качает?

Это false-positive.

Ну это маловато)

Был случай, когда среагировало больше половины антивирусов (вроде больше 40) на instance_cr_helper_*.exe , при том с какими-то невнятными описаниями,
но через время уменьшилось в двое (это была тестовая, её быстро прошли и о false-positive не отправляли).

И такое может случаться с бинарниками постера.

В случае иных - надо смотреть по каждому случаю.

 

[Monitor]

Сегодня при запуске зеннопостера словил репорт от касперского, до этого проблемы никогда не было.

Аналогично, на такой же вирус сегодня вдруг касперский начал ругаться.
Происходит так: во время запуска ProjectMaker в папке C:\Users\monitor\AppData\Local\Temp\ создается папка 23379eebf2174a39c6b323626d03782f, а в ней файл zx_f217a7fc73a8410c06b9607780ab0d88.dll, на который ругается касперский.
Касперский может вылечить (удалить) файл только после закрытия PM.
Что делать?

 

[Yuriy Zymlex]

Аналогично, на такой же вирус сегодня вдруг касперский начал ругаться.
Происходит так: во время запуска ProjectMaker в папке C:\Users\monitor\AppData\Local\Temp\ создается папка 23379eebf2174a39c6b323626d03782f, а в ней файл zx_f217a7fc73a8410c06b9607780ab0d88.dll, на который ругается касперский.
Касперский может вылечить (удалить) файл только после закрытия PM.
Что делать?

Отправьте его так же на https://www.virustotal.com/

 

[Monitor]

Отправьте его так же на https://www.virustotal.com/

Вот результат проверки: https://www.virustotal.com/gui/file/a5fd8733ebb328ffb78eb3bb4950d764727ea57033648d324f8032537d4fa8ae
При этом перестал работать запуск шаблона в PM:

Спойлер: скрин

Нажимаю, ничего не происходит.

 

[Yuriy Zymlex]

Вот результат проверки: https://www.virustotal.com/gui/file/a5fd8733ebb328ffb78eb3bb4950d764727ea57033648d324f8032537d4fa8ae

Это тот же самый, что и выше.

При этом перестал работать запуск шаблона в PM

Тут пока только белый список поможет...

 

[Amaright]

То же самое сегодня

 

[Yuriy Zymlex]

@SeregaVIP, @Monitor Пришлите, пожалуйста, файл.
@Amaright Тоже пришлите.

 

[SeregaVIP]

Пароль 1

 

[Monitor]

@Monitor Пришлите, пожалуйста, файл.

Пароль: 2

 

[SeregaVIP]

Программисты проверили в чем проблема?

 

[SeregaVIP]

Уже 3 антивируса видят вредонос

 

[Yuriy Zymlex]

Уже 3 антивируса видят вредонос

Пришлите новый файл. По старому остался только 1 (upd: после скана стало 2, но касперский пропал):
https://www.virustotal.com/gui/file/a5fd8733ebb328ffb78eb3bb4950d764727ea57033648d324f8032537d4fa8ae

@SeregaVIP, @Monitor, @Amaright, @ALEXXXL
zx_*.dll в папке Temp является производной частью шаблона (создаётся при его сборке/компиляции).

 

[SeregaVIP]

Пришлите новый файл.

новые файлы почему-то не создаются сейчас в той папке, и антивирус соответственно не ругается. На старый файл срабатывание у касперского исчезло, только те 2 антивируса с вирустотала остались

 

[zippomode]

тред не читал, но вероятно дело в шаблонах
возможно шаблон заходит на вирусованный сайт, у меня так было