id: Гость   вход   регистрация
текущее время 14:54 23/04/2017
Автор темы: Liberty, тема открыта 12/10/2016 09:17 Печать
Категории: атаки, жучки/кейлоггеры, bitcoin
создать
просмотр
ссылки

Данную тему заставила создать одна странность, а именно: при проверке системы антивирусом Avira internet security сборка от 2014 года обнаружился троян
TR/Crypt.XPACK.Gen2 в проге кошелька Bitcoin – Electrum версии 2.7.4


Файл C:\Program Files\Electrum\hid.pyd'
содержит вирус или вредоносную программу 'TR/Crypt.XPACK.Gen2' [trojan].
Действие с файлом:
Файл был удален.


одно дело если где то скачивал прогу, но скачивал с официального сайта https://electrum.org/#download, ладно думаю, это AVIRA глючит, при том проверял версией без обновления, обновил базы, сканирую тот же файл – нет трояна! Решил все же покопаться в этой причине, скачал все возможные версии Electrum https://download.electrum.org начиная с 1.8 и кончая 2.75, распаковывал их архиватором 7z и сканировал, на версии 1,8 – 2,44 Avira Трояна не было, появился начиная с версии 2,51, от греха подальше снес 2,74 версию и поставил 2,44, последнюю что без трояна, но тут всплыла мега-странность – при попытке совершить перевод выскочила ошибка что прога старая и для совершения платежа надо обноситься до версии 2,51, а именно на эту версию проги и выше ругается антивирус!!!, а именно на файл hid.pyd, в целях эксперимента удалил этот файл и совершил платеж, платеж прошел успешно, на функционал проги удаление файла никак не подействало, поэтому вопрос – что это за фича такая hid.pyd и для чего она нужна?, почему версии программы не содержащие его не позволяют производить операции? Почему с обновленными базах hid.pyd уже не детектируется? Неужели кто то намеренно убрал из баз детект TR/Crypt.XPACK.Gen2 в файле hid.pyd'? В связи с этим появилась у меня конспирологическая версия – производители Electrum и Avira родом из Германии, может спецслужбы этой страны вынудили Avira не детектировать TR/Crypt.XPACK.Gen2 в Electrum с целью следить за транзакциями Bitcoin ?
У кого какие могут быть мысли по этому поводу?


 
Комментарии
— SATtva (12/10/2016 09:24, исправлен 12/10/2016 09:25)   профиль/связь   <#>
комментариев: 11502   документов: 1035   редакций: 4014

Самый тривиальный вариант — ложное срабатывание антивируса.

— Liberty (12/10/2016 09:25)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
По антивирусу – версия Avira 13.0.0.3885
— SATtva (12/10/2016 09:25)   профиль/связь   <#>
комментариев: 11502   документов: 1035   редакций: 4014
В интернете же куча сервисов для проверки файлов разными антивирусами, загрузите его туда, посмотрите, как на него будут реагировать другие антивирусы.
— Liberty (12/10/2016 09:38)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
Самый тривиальный вариант — ложное срабатывание антивируса.
===
если эту версию выбрать как основную, то почему сервер Electrum не позволяет использовать версии своего продукта в которых TR/Crypt.XPACK.Gen2 не детектируется? Уж очень интесная избирательность, если бы просто ложное срабататывание, так к этому добавляется запрет на использование страрых версий Electrum, а это уже на сттистику и конспирологию тянет, да и как выше писал обе фирмы из Гемании и подконтрольны БНД (Федеральная разведывательная служба Германии), которой следить за транзакциями Bitcoin восе не будет лишним
— Liberty (12/10/2016 09:49)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
В интернете же куча сервисов для проверки файлов разными антивирусами, загрузите его туда, посмотрите, как на него будут реагировать другие антивирусы
===
проверял, на вирустотале чисто, но антивирусы не панацея, антивирусные базы создают люди, и другим людям, тем что в погонах, ничего не стоит приказать этим людям убрать из баз сигнатуры правительственных вирусов и трянов, что такие вирусы и трояны существуют думаю знающие люди давно в курсе.
На данный момент яблоко раздора – hid.pyd удалил, от греха подальше, возможность того что за моими транзакциями кто то может следить меня вовсе не прельщает, да и пословицу "Береженого Бог бережет, а не береженого конвой стережет" еще никто не отменял.
— SATtva (12/10/2016 10:04)   профиль/связь   <#>
комментариев: 11502   документов: 1035   редакций: 4014

Если "вирус" детектируется только одним антивирусом из множества — это гарантировано ложное срабатывание.
— Liberty (12/10/2016 11:00)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
Если "вирус" детектируется только одним антивирусом из множества — это гарантировано ложное срабатывание.
===
Ну что сказать, значит информация гуляющая в опреденных кругах о том что правительства разных стран заставляют создателей защитного ПО, чтобы их антивирусы «закрывали глаза» на правительственные трояны – это лажа, чушь и бред собачий, отказ серверов Electrum обсуживать версию ПО без "фичи" – случайность, а мой пост не более чем баловство! )))
— SATtva (12/10/2016 11:09)   профиль/связь   <#>
комментариев: 11502   документов: 1035   редакций: 4014
То или иное правительство вполне может надавить на компании из своей страны, чтобы те добавили нужные сигнатуры в белый список, но заставить иностранные компании сделать то же самое в большинстве случаев невозможно: представьте вой, который поднимется, если США потребуют что-то от российского Касперского или финского F-Secure, или если Россия попытается надавить (как вообще?) на американский Symantec.


Проблема в том, что все люди подвержены когнитивным искажениям и, в частности, такому, как confirmation bias: Вы сюда пришли не для того, чтобы получить совет или узнать что-то новое, а получить поддержку собственным заблуждениям. Ну, простите, я Вам помочь в этом не могу.
— sentaus (12/10/2016 11:29)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
'TR/Crypt.XPACK.Gen2' [trojan].

Судя по названию, это троян-шифровальщик. Скорее всего, авторы трояна просто позаимствовали элементы кода Bitcoin.
— SATtva (12/10/2016 11:33)   профиль/связь   <#>
комментариев: 11502   документов: 1035   редакций: 4014
Тоже возможно. А небольшая антивирусная компания может не иметь ресурсов для проверки сигнатуры на большой выборке файлов для выявления ложных срабатываний, прежде чем внести сигнатуру в базу антивируса.
— Liberty (12/10/2016 15:08)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0

Electrum и Avira компании из одной страны, из ФРГ

не потребуют, потому как знают что Касперский работает на другую спецслужбу, он выпускник академии ФСБ, его продукты и продукты доктора Вэба имеют сертификаты соответствия ФСБ, его сына из лап похитителей вызволяла не полиция, а сотрудники ФСБ, куда стучат его продукты о результатх сканирования догадайтесь с трех раз

неверно, Avira под этой вывеской классифицирует эту сигнатуру как малварь следящую за интернет активностью и передающую на удаленный сервер личную информацию

Avira большая антивирусная компания

мне не нужен совет, не просил я его, написал пост чтобы поделиться подозрением что свежее ПО от Electrum может быть с дырой и доверять ему платежи опасно, но видать форумом ошибся, всегда думал что этот форум посещают серьезные люди, а оказалось что лишь наивные подростки

На этом из темы удаляюсь
— SATtva (12/10/2016 15:30)   профиль/связь   <#>
комментариев: 11502   документов: 1035   редакций: 4014

И? Антивирусы производства других стран не могут сканировать эти файлы?


Я вроде как об этом и пишу.


Да, жаль, что Вы поняли это слишком поздно. :)
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3