Подозрение на троян

Printable View

10.11.2007, 13:24
SDA

Подозрение на троян

Незнаю в какую тему поместить, помощи не требуется решил суда:
Программа феликс ( биллинговая программа для авторизации в в моей сети [url]http://www.birulevo.net/[/url]) Последние 2 дня проактивка Каспера стала ругаться на прогу - Heur.Trojan.Generik, поместил ее в доверенные. Хотя по отзывам ругается не только Касперский но и Nod32, Avira.
Вопрос: программа феликс обновилась, что за код в ней добавили, при котором ругаются антивирусы. Письмо в ЛК не отсылал, так как не знаю какой код добавлен, может отсылать письмо смысла нет. Хотя по сути программа относится к к классу not-a-virus.

[url]http://bill.birulevo.net/client/felix.exe[/url]
10.11.2007, 13:33
Alex_Goodwin

Может авторам проги отписать?
10.11.2007, 13:45
SDA

Честно говоря там в сети последнее время бардак, в части инета (постоянные отключения, падение скорости), не отключаюсь только из-за богатых внутренних ресурсов (музыка, фильмы, софт).Так что, поводу письма авторам неуверен.
Кстати АВЗ при просмотре открытых портов - порт открытый прогой - 6667 udp трактует, как Backdoor.Kilo, но это наверное для всех программ удаленного администрирования.
10.11.2007, 16:57
Alex_Goodwin

Не могу скачать. Выложи куда-нибудь. P.S. У них еще есть [QUOTE]"Легкий" клиент авторизации для Win9x/2k/XP/2003 [URL="http://bill.birulevo.net/client/felix-light.exe"]здесь[/URL][/QUOTE]который тоже не качается.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 5 минут[/I][/B][/color][/size]

Выложил тут: [url]http://rapidshare.com/files/68742707/felix.exe.html[/url]
Вирустотал:
[QUOTE]тивирус Версия Обновление Результат
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 TR/FwBypass.A.634
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.09 -
AVG 7.5.0.503 2007.11.10 Generic9.NBL
BitDefender 7.2 2007.11.10 BehavesLike:Trojan.FirewallBypass
CAT-QuickHeal 9.00 2007.11.10 -
ClamAV 0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 -
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 -
F-Secure 6.70.13030.0 2007.11.09 W32/Malware
Ikarus T3.1.1.12 2007.11.10 BehavesLikeTrojan.FirewallBypass
Kaspersky 7.0.0.125 2007.11.10 -
McAfee 5160 2007.11.09 -
Microsoft 1.3007 2007.11.10 -
NOD32v2 2651 2007.11.10 -
Norman 5.80.02 2007.11.09 W32/Malware
Panda 9.0.0.4 2007.11.10 -
Prevx1 V2 2007.11.10 -
Rising 20.17.52.00 2007.11.10 -
Sophos 4.23.0 2007.11.10 -
Sunbelt 2.2.907.0 2007.11.09 -
Symantec 10 2007.11.10 -
TheHacker 6.2.9.122 2007.11.09 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 -
Webwasher-Gateway 6.0.1 2007.11.10 Trojan.FwBypass.A.634
Дополнительная информация
File size: 499200 bytes
MD5: 7166eb436487d721c15d4387a9967a5f
SHA1: fbf7954aeca5508105a4d23114c4663ada5a3cbc
norman sandbox: [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: [email][email protected][/email] - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 499200 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\felix.exe. [ Network ] * Bypass installed firewall. [ Process/window information ] * Creates an event called {65A5799B-04B6-4a55-890D-77AAEDC25CDE}. * Creates an event called {6E118146-B103-4599-9B45-2024322A7FE6}. * Creates a COM object with CLSID {00021401-0000-0000-C000-000000000046} : IShellLinkA. * Attemps to open C:\WINDOWS\felix.exe . * Attempts to open CLSID {304CE942-6E39-40D8-943A-B913C40C9CD4}. [/QUOTE]
У меня каспер эвристиком не ругался, сработала проактивка при копировании в windir exe-шника + прописывания его много-где в реестре и запуска. А еще сначала он себя исключения файера винды прописывает.
Вариант - либо долбать авторов, либо смириться и занести в доверенные.
10.11.2007, 18:19
SDA

Пришлось занести в доверенные.