Windows ISO Downloader вредонос?

Тема в разделе "Защита от взлома", создана пользователем machito, 14 дек 2016.

  1. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.940
    Симпатии:
    1.968
    Утилита по скачиванию оригинальных образов (Windows ISO Downloader), знакома многим, и в моём компьютере лежала естественно давно, но, сегодня защитник windows, выдал такое сообщение:
    В окне защитника перехожу по ссылке "узнать больше"
    Trojan:Win32/Pellate.A!cl

    Онлайн сканер ничего отрицательного - настораживающего не показал:
    Antivirus scan for 497b583b4123027fafcc882370c7156de0dcc14b422dedf8e1791aec5ccc6212 at 2016-12-14 08:05:58 UTC - VirusTotal

    [​IMG]


    У кого какие мнения, помогите разобраться, так ли это?
     

    Вложения:

    Kиpилл нравится это.
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.654
    Симпатии:
    5.210
    Судя по тому,что образы качаются с амазона,то реакция битдефендера понятна - явно уже имеется разногласие с описанием из первого поста.
    Надо на выходных посмотреть что за программа,куда лезет,чем занимается еще.
     
    machito нравится это.
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.973
    Симпатии:
    1.940
    Windows ISO Downloader 4.10 скачать бесплатно - Операционные системы
    Моё мнение, что защитник windows защищает windows microsoft corporation :) а не пользователя windows как такового.
     
    Candellmans и machito нравится это.
  4. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.940
    Симпатии:
    1.968
    в описании четко сказано (загрузить ИСО образы для Windows и Office, непосредственно с сервера Microsoft.) читаем внимательно.
    Вердикт довольно таки серьезный, "Trojan:Win32/Pellate.A!l"
    Думаю тогда станет ясно, кто кого защищает.
     
  5. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.973
    Симпатии:
    1.940
    Submission History Details
    Отправил на анализ, пока суд да дело.. (возможно ложное срабатывание)
    win-iso-dlx.
     
    Последнее редактирование: 15 дек 2016
    Kиpилл и machito нравится это.
  6. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.940
    Симпатии:
    1.968
    [​IMG]

    @Phoenix, это вообще не понятно, это что было, жаль что сразу не заскринил. Сейчас вот решил направить сканер на утиль в папке,
    и такая картина - все прекрасно, трояна нет.
    Завтра попробую на другой железке, может опять сработает.
     

    Вложения:

  7. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.973
    Симпатии:
    1.940
    Там есть его логи в
    C:\Documents and Settings\All users\Application Data\Microsoft\Windows Defender\
    или
    C:\ProgramData\Microsoft\Windows Defender\
     
  8. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.940
    Симпатии:
    1.968
    Documents and Settings отказывает доступ.
    C:\ProgramData\Microsoft\Windows Defender\ где копать?
     
  9. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.973
    Симпатии:
    1.940
    WIN+R (меню Выполнить) вставить строку адреса и ENTER
    Желательно брать в кавычки, если есть пробелы в пути. Но на 10-ке и так работает.
    Код (Text):
    "C:\Documents and Settings\All users\Application Data\Microsoft\Windows Defender\"
    --- Объединённое сообщение, 16 дек 2016 ---
    Попробуй этоим средством Microsoft Safety Scanner - Бесплатное средство обеспечения безопасной и стабильной работы ПК
    Лог - C:\Windows\debug\msert.log
    У меня нашёл что то. Не помню что это..
    PHP:
    Threat detected: PWS:Win32/Kurit!rts
        file://C:\Program Files\Directmedia\Uninstall.exe
            SigSeq: 0x00001667B900C8BC
            SHA1:   898a5ad23bfa14815928816e86cc8b7b8d4c34fb
        regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Электронная библиотека 4.1.0.33
        uninstall://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Электронная библиотека 4.1.0.33
    --- Объединённое сообщение, 16 дек 2016 ---
    Antivirus scan for 78172d9662d6c35afbf00bd35670b3608e69a23ade8eadc66c17e20cdcbbe597 at 2014-08-04 19:16:56 UTC - VirusTotal
    По хэшу на VT вот 24 / 54
     
    machito нравится это.
  10. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.940
    Симпатии:
    1.968
    C:\ProgramData\All users\Application Data\Microsoft\Windows Defender\
    Извиняюсь, сборщик логов из меня никакой)) где он находится, в корне папки?
    Еще одно чудо разработка мелких, она проявляет интерес к железу на все 100%. Хотя имеется опция выбора.
    Полное не соответствие назначения функционала, где логика!
    Зачем прикрутили эту функцию "выбрать отдельную папку", сканирование все равно начинается в полном обьеме но якобы "быстрое"
    но какая разница, идет полный шмон ОС попутно с отчетом на майкрософт, что оговаривается в соглашении.

    [​IMG]
     

    Вложения:

  11. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.973
    Симпатии:
    1.940
    В папке Scans, Quarantine, Support посмотри. У меня он заблокирован и там пусто. Или поиском .log или .txt
    MSERT я быструю делал, а остальное долго сканирует.
     
    Последнее редактирование: 17 дек 2016
    machito нравится это.
  12. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.940
    Симпатии:
    1.968
    Логи только в одной лежали, в папке Support.
     

    Вложения:

    • логи.rar
      Размер файла:
      756,1 КБ
      Просмотров:
      1
  13. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.973
    Симпатии:
    1.940
    Internal signature match:subtype=Lowfi, sigseq=0x00023EBD4DBA4EFC, signame=SLF:HighRiskHasMotW, cached=false, resource="\Device\HarddiskVolume3\ДИСК С\Windows ISO Downloader.exe"
    В логе только это о нём. Может просто на анализ отправлял ?
     
  14. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.940
    Симпатии:
    1.968
    Да нет, конкретно было предьявлено обвинение на трояна, как видно из первого поста ссылка по факту обнаружения.
    К стати, срабатывание было на тот что весит меньше, (480кб) хотя обычный вес 651кб, пробовал сканить на других железках, фаервол молчит.
     

    Вложения:

  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.654
    Симпатии:
    5.210
    Сильно заняться так времени и не было в итоге.
    Что могу сказать:
    Качаются образы действительно с
    Код (Text):
    https://software-download.microsoft.com
    Образы не битые,вот пример сумм:
    Код (Text):
    Win8.1_Russian_x32.iso         fb10a76d2c2f8db76add14f83c41b10b3994ffb2    bce27dbe    99916b4306fe5d7829d4ab224de2340c73d91e161b6a6109fbd48faf1ffbce6f    1b4e298c84438e02d7b4e682d3376bd250adb122ca98cda1f25a72a00d0749c19a3ffd206ff381a7566301d01fcca4003a0c614999bd9cbcb11210a4b989873f    625f2a10408b2b357c50af598f849fb77137f78a8e0913ee786347bfeef945966f0a3b39f3613639ffad8d5245d1cd9f    

    Стучится постоянно сюда:
    Код (Text):
    cs9.wpc.v0cdn.net
    + потребляет трафик даже тогда,когда ничего не качает.
    ссылки и реклама на амазон - судя по всему вариант капитализации.

    Что передает и что качает в состоянии покоя пока не выяснял.
    --- Объединённое сообщение, 19 дек 2016 ---
    machito, если время есть понаблюдай за сетевой активностью этого друга.
     
    Последнее редактирование: 19 дек 2016
    machito нравится это.