Вирус в лаунчере?

[Morlock]

Собственно после того как переустановил ОСь, вся Джавы и прочее, решил качнуть лаунчер. И тут пренеприятнейшее известие - низзя скачать, потому что обнаружен вирус.
Не, конечно от него бабушка не умерла и утюг не сгорел, но всё же.

 

[uzogamespro]

Устновщик лаунчера на VirusTotal:

Спойлер: VirusTotal результаты

Please, Вход or Регистрация to view URLs content!

Сейчас попробую объяснить является ли установщик вирусом
Начну с Artemis!49DFF0838C40, гугл ничего не находит я попробывал погуглить просто Artemis Virus и нашёл ''информацию''

Артемида - это угонщик браузера, который влияет на

Please, Вход or Регистрация to view URLs content!

, такие как Google Chrome и Firefox. Домашняя страница пользователя изменится на страницу ******.com и перенаправит на страницы с

Please, Вход or Регистрация to view URLs content!

окнами и рекламой, что замедлит работу браузера.

но Лично я такого поведения не заметил,ничего не изменилось в браузере.(у меня Google Chrome,система не тормозит)
Следующия ''Угроза'' это BackDoor.Bladabindi.13678

BackDoor это дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить

Please, Вход or Регистрация to view URLs content!

к данным или удалённому управлению

Please, Вход or Регистрация to view URLs content!

и

Please, Вход or Регистрация to view URLs content!

в целом

опять же информации что делает этот троян нет. По крайней мере я не нашёл к сожалению
ну есть версии данных троянов или ревизии,сам не знаю как назвать цифры и буквы после наименования вируса
Но... к сожаления они все разные и вред разный(возможно)
Есть база у DrWeb там есть по данному BackDoor информация,но только что вирус создаёт,не знаю можно ли оставлять ссылки здесь,не стану рисковать.
И так данный троян создаёт файл system.exe по данному пути

%TEMP%\System.exe

.
И данного файла по данному пути что указано нет,показывания скрытых файлов так-же включено.
Так-же данный вирус прописывает себя в автозагрузке,проверил его у себя,я ничего не нашёл,в файле хост, в реестре тоже нет того что написано в базах DrWeb
Так-что не могу понять почему VirusTotal показал именно этот BackDoor.
Следующий вирус: BehavesLike.Win32.AdwareFileTour.tc кто-то написал в сообществе поддержки mcafee что на его программное обеспечения антивирус McAfee-GW-Edition как-бы срабатывает ложно. информации по данному вирусу нет,опять-же возможно плохо искал.
И Последний троян это Trojan:Win32/Bitrep.A,информацию я нашёл,

Trojan: Win32 / Bitrep.A является одной из самых разрушительных и смертельных угроз для ПК, созданных мощными киберпреступниками для совершения вредоносных действий в вашей системе ПК и разрушения ее. Как следует из названия, это опасный троянский вирус, который тайком прокрался в ваш компьютер и полностью контролирует весь компьютер, развертывая свои порочные коды в отдельных местах ПК. Он имеет возможность отключать запущенные программы безопасности и блокировать брандмауэры Windows и открывать бэкдоры для других онлайн-инфекций. В связи с этим другие опасные угрозы, такие как рекламное ПО, руткиты, черви, программы-шпионы и т.д., Могут легко проникнуть в компьютер и повредить его.

Его признаки: подозрительные процессы,записи в файле hosts,новые приложения в автозапуске,реестр,браузер
И так проверю данные признаки,диспечер задач никаких подозрительных процессов я не нашёл,так-же в реестре посмотрев по данным путям автозапуск данного трояна

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] или

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] или

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ CurrentVersion \ Run]

Я ничего лишнего не нашёл.
Файл Hosts, находится по пути

C:\Windows\System32\drivers\etc

так должен выглядить чистый hosts:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#    127.0.0.1       localhost
#    ::1             localhost

Если что-то есть лишнее стирайте,что-бы открыть файл хост и редактировать его нужно запустить текстовый блокнот от имени администратора по пути:

C:\Windows/notepad.exe

либо-же с помощью командной строки от имени администратора

notepad.exe

и нажать enter и запустится блокнот от имени администратора
и сверху есть дополнительные действия или же меню(я забыл как называется сорри)

Файл>открыть

и следуем по пути к файлу hosts что указал выше
Важно! по умолчанию стоит текстовые документы(.txt) нажимаем и выпадает выпадающий список и выбираем показывать все.

если у вас есть что-то лишнее в файле hosts,то это не значит что данный троян которого в лаунчере нет(это не точно), некоторые трояны тоже могут изменять файл hosts что-бы перенаправлять вас на фейк сайт что-бы украсть данные и т.д
У меня файле хост ничего лишнего нет.
так что признаков трояна лично у меня нет.
Итог: лаунчер для меня полностью безопасен,признаков всех этих угроз я не наблюдал лично. так что бояться нечего
Извиняюсь за ошибки в тексте и понктуальности и за запятые тоже)

 

[Artmoneyse]

Устновщик лаунчера на VirusTotal:

Спойлер: VirusTotal результаты

Please, Вход or Регистрация to view URLs content!

Сейчас попробую объяснить является ли установщик вирусом
Начну с Artemis!49DFF0838C40, гугл ничего не находит я попробывал погуглить просто Artemis Virus и нашёл ''информацию''

но Лично я такого поведения не заметил,ничего не изменилось в браузере.(у меня Google Chrome,система не тормозит)
Следующия ''Угроза'' это BackDoor.Bladabindi.13678

опять же информации что делает этот троян нет. По крайней мере я не нашёл к сожалению
ну есть версии данных троянов или ревизии,сам не знаю как назвать цифры и буквы после наименования вируса
Но... к сожаления они все разные и вред разный(возможно)
Есть база у DrWeb там есть по данному BackDoor информация,но только что вирус создаёт,не знаю можно ли оставлять ссылки здесь,не стану рисковать.
И так данный троян создаёт файл system.exe по данному пути .
И данного файла по данному пути что указано нет,показывания скрытых файлов так-же включено.
Так-же данный вирус прописывает себя в автозагрузке,проверил его у себя,я ничего не нашёл,в файле хост, в реестре тоже нет того что написано в базах DrWeb
Так-что не могу понять почему VirusTotal показал именно этот BackDoor.
Следующий вирус: BehavesLike.Win32.AdwareFileTour.tc кто-то написал в сообществе поддержки mcafee что на его программное обеспечения антивирус McAfee-GW-Edition как-бы срабатывает ложно. информации по данному вирусу нет,опять-же возможно плохо искал.
И Последний троян это Trojan:Win32/Bitrep.A,информацию я нашёл,
Его признаки: подозрительные процессы,записи в файле hosts,новые приложения в автозапуске,реестр,браузер
И так проверю данные признаки,диспечер задач никаких подозрительных процессов я не нашёл,так-же в реестре посмотрев по данным путям автозапуск данного трояна

Я ничего лишнего не нашёл.
Файл Hosts, находится по пути

если у вас есть что-то лишнее в файле hosts,то это не значит что данный троян которого в лаунчере нет(это не точно), некоторые трояны тоже могут изменять файл hosts что-бы перенаправлять вас на фейк сайт что-бы украсть данные и т.д
У меня файле хост ничего лишнего нет.
так что признаков трояна лично у меня нет.
Итог: лаунчер для меня полностью безопасен,признаков всех этих угроз я не наблюдал лично. так что бояться нечего
Извиняюсь за ошибки в тексте и понктуальности и за запятые тоже)

Могу обьяснить как работают антивирусы.

При сканировании файлов они проверяют сигнатуры (образец программного кода). Сверяют программный код файла с образцами кода в своей базе данных (вирусной базе сигнатур).
Например у реального вируса есть в коде такие действия: запись в реестр, отправка Post данных, получение списка окон или процессов. Конечно же в нашем лаунчере также есть такие действия, только вот в реестр пишутся данные но не в автозагрузку и настройки Windows вообще не затрагиваются. Список окон\процессов же лаунчеру нужны чтобы мамкины хакеры не запускали общедоступные читы (например CheatEngine).
Отправка Post данных нужна лаунчеру чтобы получать список серверов, кол-во игроков на сервере, проверять введенный игроком логин\пароль. Так и получается что у нашего лаунчера может быть похожий код который был обнаружен в вирусном файле. Разработчики антивирусов чуточку коварные люди, понятное дело что они зарабатывают деньги на своем продукте. В их интересах только чтобы антивирус не сильно грузил систему и находил вирусы. Потому разработчики делают обобщенную вирусную базу которая сканирует быстро но не эффективно.
Вообще даже существует такое понятие как "false Positive" (ложное срабатывание) и потому нормальные вирусные компании делают спец. онлайн сервисы для репорта о ложных срабатываниях.
В 2015-2016 я занимался данным вопросом, многие антивирусы добавили наш лаунчер в белый список. Прошло не мало времени, наверное наш лаунчер просто убрали с данного списка.
Любое изменение в файле лаунчера и он снова должен отправляться как False Positive. Сейчас же идет разработка новой версии лаунчера, возможно часть обнаружений пропадет а по остальным нужно будет решать вопрос.

Антивирусы логически не могут различить вредоносные действия от вполне приемлемых.
Скачивает файлы, добавляет в автозагрузку и автоматически запускает файл который скачало? Сразу будет ругаться на вирус, названия вирусов же вообще ничего не значат.

Мы не распространяем вирусы и сам лаунчер не содержит вредоносного кода.