-
Junior Member
- Вес репутации
- 63
AVZ - Trojan.PSW? в файле spidermail.exe почтового сторожа Dr.Web
Код:
Протокол антивирусной утилиты AVZ версии 4.23
Сканирование запущено в 19.01.2007 22:54:54
Загружена база: 79125 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 19.01.2007 10:38
Загружены микропрограммы эвристики: 366
Загружены цифровые подписи системных файлов: 55053
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
...
2. Проверка памяти
Количество найденных процессов: 30
...
Анализатор - изучается процесс 604 D:\Program Files\DrWeb\spiderml.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Trojan.PSW ?
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 600 D:\Program Files\DrWeb\DRWEBSCD.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
...
Из перечисленных "обвинений" очень интересно выделенное: Trojan.PSW?
Хоть и эвристик, а не сигнатура, но неприятно.
Олег Зайцев, разберитесь, пожалуйста 
.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Это не ложное срабатывание, а описание того, что по мнению анализатора может делать приложение (знак вопроса после Trojan-PSW стоит не случайно - подчеркивая, что это всего лишь предположение). А формируется оно исходя их того, что видимо в памяти процесса есть некий код и некие константы, которые в совокупности с возможностью работы с сетью, вероятностью возможности отправки почты или работы с ней, упаковщиком (он кстати тоже под вопросом) и автозапуском позволяет выносить подобные предположения. Тут тот-же принцип, что и в антикейлоггере - человеку выдается информация, расчитанная на вдумчивый анализ. Причем выводится эта информация только на максимуме эвристики и при включении птички "расширенный анализ".
-
-
Junior Member
- Вес репутации
- 63
Спасибо, вопросов больше не имею 
.
Ответить с цитированием
