Установил DAEMON Tools Lite и получил аллерт с четкой рекомендацией насчет shell code.Я правда сразу внес в исключения шелл кодов,потому как с сайта производителя качал.Скрина не успел сделать.Но не думаю что оповещение было ложным,исходя из самого смысла и работы данного зловреда.Дабы не отнимать время и не создавать ложную пищу для размышлений,сначала разместил топик в англ ветке.Там мне ответили-так как я уже сделал внести в исключения.Отчет с Virustotal я им прилагал,это не вирус.
Это типа фолс Comodo, так как при установке DAEMON Tools как бЭ вводится “эксплойт” на переполнение буфера, для создания и контроля эмуляционных дисков с подменой стека памяти… иначе DAEMON Tools не будет выполнять свои функции.У него даже свой драйвер sptd.sys при запуске в процессах может менять название. Вот такая хитрая штуковина этот DT.
Если программа скачана с официального источника, то можно занести её в исключения.
Кстати, из автозагрузки(avtoruns) DAEMON Tools после установки можно будет удалить и запускать его по необходимости. Для этого в его настройках есть чекбокс на отключение автозагрузки с ОСью.
Astroburn Lite - за эту ничего сказать не могу. С ней не работал. Ну если с ней вылетает алерт на шелл-код, это уже настораживает. Действительно, ведь только дискописалка…
Не нашел на форуме подобной темы и решил написать сюда. Поставил AntispamSniper for TheBat и CIS начал выдавать алерты на шелл-код и блокировать Bat. Пришлось добавить почтовик в исключения. Хотелось бы узнать, это нормальное явление? ???
При блокировке спама по заголовкам и фильтрации IMAP для шифрованных соединений плагин подменяет SSL сертификат сервера. Чтобы при этом почтовый клиент не показывал диалогов с предупреждением, в адресную книгу TheBat/Voyager можно импортировать корневой сертификат плагина
может быть в этом дело… но каким образом AntispamSniper это делает неизвестно, может и внедрением шелл-кода. Так что, что-то определённое сказать не могу. Проверьте этот плагин на VirusTotal. Кто юзал этот плагин, я думаю отпишутся.
Внесу точность.Astroburn Lite-не тот же производитель.Просто в рекламе у Демона он был.Я то качал их раздельно,просто запарился.Написал Астробану в тех. поддержку,жду от них ответа,отпишусь.Думаю такие дела нельзя попускать.
Ответ от supportcenter[at]disc-soft.com
Astroburn Lite на подозрении во внедрении SHELL CODE
Такая же проблема была обнаружена с продуктами DAEMON Tools.
Вы можете найти информацию о проблеме совместимости DAEMON Tools с Comodo на форуме Comodo:
Пожалуйста, учитывайте тот факт, что HIPS системы позволяют отлавливать потенциально опасные действия различных приложений, но не все эти действия на самом деле опасны для Вашей системы.
support-eml[at]disc-soft.com
Здравствуйте.
Программа установки Astroburn Lite базируется на коде программы установки DAEMON Tools Lite.
Мы не уточняли на какие действия программы установки срабатывает HIPS модуль Comodo,
вероятнее всего это реакция на VMProtect защиту, которой защищена программа установки Astroburn.
Все бинарные файлы Astroburn Lite (включая и саму программу установки) подписаны цифровой подписью, и мы гарантируем,
что при неповрежденной подписи файла программы установки наше программное обеспечение не содержит вредоносного кода.
VMProtect
Защита программного обеспечения нового поколения. Защищённые участки кода исполняются на виртуальной машине, что очень сильно осложняет анализ и взлом защищённой программы. Встроенный дизассемблер и подключение MAP файла быстро позволят Вам находить необходимые участки кода для защиты от взлома. Поддержка широкого круга компиляторов: Delphi, Borland C Builder, Visual C/C++, Visual Basic (native), Virtual Pascal.
Меня интересует этот вопрос с точки зрения-почему.Я теперь пока не узнаю принцип срабатывания аллерта с этими программами,не успокоюсь.Меня не устраивает просто занести в исключения.Может и ложное срабатывание,кто его знает.Сам механизм понятен,само собой,но настораживает именно Astroburn,несмотря на заверения разработчиков.Узнаю-отпишусь обязательно.Кстати из автозагрузки не только таким образом можно удалять,есть и программы,сторонних разработчиков,и реестре пок ;Dпаться.