# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Trojan.Gen.2  - dwh7081

## Igemon

Просмотрел все рубрики, не нашел подходящего места. Решил задать вопрос здесь. Если что перенесите в соответствующую тему.

Заметил что SEP/Symantec/    отлавливает в карантин файлы имя dwh с разными номерами типа  dwh7183exe,  dwh5414exe и т.д
И вот в один прекрасный день SEP сообщает что нет места на диске, сканирование не возможно.
Короче говоря  нашел я в чем дело.  В фаерфоксе стояло приложение video download helper. В папке appdata\lokal\temp  было около 30 Гбт.
Ну я все это удалил.  Вопрос такой: было ли у кого такое ? И что это такое?
Пока я надеюсь что это ложное срабатывание.(Trojan.Gen.2  - dwh7081)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Val_Ery

Мне всегда нравились корпоративные продукты Symantac. Ещё с тех времен, когда тот же SEP обзывался corporate edition. По причиние того, что к корпоративной безопасности америкосы относятся совсем не так, как к "домашней". 

Ну, например, любой бухгалтер, приносящий на работу свой ноут с  SEP'ом, обнаруживал, что совершенно не может пользоваться локальной сетью. При этом sep постоянно вываливал сообщения о блокировке разных адресов (локальных) на некий короткий промежуток времени. И так по кругу...
Понятно, что вопрос решается снятием одной галочки в настройках Но вот пользователи этого не знают. Поэтому постоянно ругаются/матерятся/etc.

Это я вот к чему... Троян.Ген
Под этим названием скрывается общее определение потенциальных угроз, для которых не существует конкретного детекта.
Чтобы не быть голословным:



> Trojan.Gen.2 is a generic detection for many individual but varied Trojans for which specific definitions have not been created. A generic detection is used because it protects against many Trojans that share similar characteristics.


Источник - тык

То бишь, это то, что я всегда называл "саймантековой корпоративной паранойей" - "мы на всякий случай перестрахуемся, мало ли что  :Smiley:  "

Подобные перестраховки есть у всех антивирусных производителей. У одних детекты подобного происходят чаще, у других - реже. Но когда речь заходит о некотором поведенческом анализе, все предпочитают подход "а ну его на фиг, лучше пометить...".

В данном конкретном случае SEP пошел по пути: исполняемый файл в кеше браузера (даже если у него нет точки между буквоцифрами и расширением) потенциально опасен, надо пометить. Ложное срабатывание это или нет - не скажу. По двум причинам...
Первая: я не использую Виндовс, но в своё время использовал video download helper... Так вот. Я не помню такого, чтобы в кеше появлялись временные файлы, содержащие в имени exe или deb (для моей системы). Это уже моя "паранойя"  :Smiley: 
Вторая: невозможно сказать что-то определенное, не видя самого файла. То, что тама находится, может совсем не иметь никакого отношения к исполняемым файлам. Если не удалили всё, попробуйте отыскать самый легкий файлик и проверить его на virustotal.com

И последнее.
Я не утверждаю, что это ложное срабатывание ещё и потому, что (на самом деле, не помню когда, может года полтора назад) спецы по безопасности  проводили изучение расширений Огнелиса на предмет их повторного использования, video download helper подвержен сией уязвимости.
Ну... Я думаю, за это время уже всё поправили. Это так доп. информация просто  :Smiley: 

P.S. Про кэш.
Огнелис, в отличии от всего хромообразного, при старте прогружает только последнюю открытую вкладку (дабы снизить нагрузку на сеть). Поэтому, я рекомендую две вещи (сейчас не времена dial-up, страничку можно загрузить ещё раз):
1. Ограничить размер кэша, например, 100 мегабайтами.
2. Можно задействовать очистку кэша при закрытии браузера. Нажали крестик - кэш удалился...

----------


## Igemon

Здравствуйте! Спасибо за ответ. Но: "SEP пошел по пути: исполняемый файл в кеше браузера"- не в кэше, а в папке - C:\Users\Алекс\AppData\Local\Temp.
"Если не удалили всё, попробуйте отыскать" - удалил все не открывая. Удалил почти все расширения. Но в карантине сохранил два трояна,на память. Я не знаю как из карантина извлечь кроме восстановления.Есть экспорт что я сделал, но там формат csv. На вирустотал если не ошибаюсь шлется хэш самого трояна
Прикрепляю скрин.и на всякий случай  могу прислать "экспорт" карантина csv.Если это можно и  безопасно.

----------


## Val_Ery

> могу прислать "экспорт" карантина csv.Если это можно и  безопасно.


О! Я извиняюсь за невнимательность  :Sad:  Не до конца досмотрел путь AppData\Local\Temp...

Но, с другой стороны, это и лучше. Теперь можно с высокой вероятностю утверждать, что Огнелис не имеет к этому ни какого отношения. 
Поверьте, это так!

Значит, причина (посмотрел на скриншот и ... понял  :Smiley:  ).
В Вашем карантине имеется некоторое количество файлов. Все они хранятся в пожатом и зашифрованном виде. Хранятся на случай "а вдруг появится лечилка". Через некоторый промежуток времени SEP обнаруживает наличие обновлений для себя любимого и, дабы проверить возможность пролечить находящееся в карантине, он распаковывает и расшифровывает содержимое карантина во временную папку. Давая этим "кандидатам на лечение" имена. Начиная с версии 12.1 (для SEP'а) эти имена имеют вид DWHxxxx.exe (где xxxx - это цифровые метки). Знакомо? 

Расширение может быть и не exe. Оно будет таким же, как и у исходного подозрительного файла.

Если с новыми базами файл пролечить не удалось, этот временный файл опять шифруется, пакуется и отправляется в карантин. Дополнительных записей в карантине не создается, антивирус и так знает о существовании этого файла. 

Новые записи появляются благодаря функции автоматической защиты.
Происходит это в тот момент, когда антивирус обнаруживает обращение некоего третьего процесса (к примеру, службы индексирования Виндовс) к распакованному из карантина во временную папку файлу DWHxxxx. Вот тогда он его помечает как новую непонятную угрозу, дает ему новое имя и закидывает в карантин. Это проявляется аккурат так, как Вы и описали в первом посте



> Заметил что SEP/Symantec/ отлавливает в карантин файлы имя dwh с разными номерами типа dwh7183exe, dwh5414exe и т.д


Решение
1. Очистить карантин через интерфейс SEP
2. Отключить повторное сканирование карантина после получения обновлений. Для этого
"Защита от вирусов и программ-шпионов" > "Параметры Windows" > "Карантин" > "Дополнительные параметры" >>> "При появлении новых определений вирусов" выберите "Ничего не делать" 
3. Если удалить DWH-файлы не удается > перезагрузиться в безопасном режиме и удалить
 - все DWH-файлы из временного каталога AppData\Local\Temp,
 - всё содержимое карантина (его карантин находится здесь C:\ProgramData\Symantec\Symantec Endpoint Protection\СБОРКА\Data\Quarantine\)
4. Удалить всё, что находится в папке C:\ProgramData\Symantec\Defwatch.DWH

У Symantec есть утилита для очистки всех каталогов, содержащих временные данные. К сожалению, та версия, которая есть у меня, 2008 года. Подозреваю, что толку от неё на Виндовсах 8 и 10 будет ноль. Поэтому каталоги, которые нужно почистить прописал выше  :Smiley: 
Если есть необходимость, могу утилю выложить на какую-нибудь тучку.

И... Ещё раз ивиняюсь за свою невнимательность

----------


## Igemon

Спасибо. Карантин очистил. все папки карантина пусты.Попытался дважды, удалить журнал угроз неудачно, комп виснет. И не смог отключить сканирование карантина, нет такой возможности. Ну да ладно.А я на downloadhelper думал.

----------

