Исполнитель скинул архив с трояном, он злоумышленник или сделал это случайно?
Короче, заказывал приложение на хабре, оно представляет из себя софт по автоматизации, всё было ок, софт работал и так далее, но после внесения правок и оплаты исполнитель скинул зип архив с прогой в телегу. Как только я его открываю дефендер ругается на троян, Trojan:Script/Wacatac.B!ml
Исполнитель вроде как норм чел, даже не верится что такой мерзкой штучкой может промышлять. Как его грамотно проверить? И что вообще с этим делать? Мог ли он засовывать в прошлые версии программы гадости, которые не увидел дефендер? Если мог, то как грамотно от них избавиться и почистить систему?
А банальное "спросить у разработчика" не работает? Может он сам не знает, что "вирус" подкинул, сможет сделать анализ и сказать, на какой кусок кода ругается защитник?
Shettest ну, очевидно, что HTML и JS тут вообще никак не связаны - тем более, что кода нет. Веб разработку можно притянуть за уши, если указать, что тут автоматизация связана с сетью - но оно не указано. Так что тоже мимо. А вот Информационная безопасность и Вредоносное ПО вполне в тему, КМК.
ну это как у предполагаемого убийцы спрашивать рядом с трупом "Это Вы его убили?"
Ну и в чем проблема? Вы предполагаете как-то иначе вычислить специально ли он это сделал? Обычно полиция так и делает - если застает кого то у трупа спрашивает какое отношение он имеет к убийству. Разница в том что полиция расследует на основе улик, а вы можете полагаться только на слово, так как у вас нет полномочий просматривать его оборудование и софт... Так что, за неимением большего, спросить выглядит логичным решением. 99% что сам он не в курсе что его машина заражена, а вирус как раз такая штука, которая имеет свойство самостоятельно лезть куда не просят...
Shettest, почему нет? Если скажет "да" - тут в принципе всё понятно, поймали за руку.
Если "нет" - дальше проверяем что произошло, а в данном случае - можно ещё и его привлечь к помощи.
Shettest, я удивлюсь, если человек захочет соврать и признается что это он, хоть он и не виноват.
Если он скажет "нет" - у вас будет ровно столько же информации, как если бы вы не спрашивал вообще => вы ничего не теряете.
Shettest, ну так вот и ответ - если отправившего не спрашивать и не залазить самостоятельно на его компьютер (что в уже является составом для статьи), то ты никак не узнаешь, намеренно это было сделано или его компьютер тоже вирусом заражён.
Максимум что ты узнаешь - действительно ли в файле вирус или это ложное срабатывание.
Василий Банников, Вы сами же свои домыслы и парировали, по Вашей логике получилось что смысла в постановке данного вопроса: "Это Вы засунул троян в архив?" нет, о чём я ранее и писал
по Вашей логике получилось что смысла в постановке данного вопроса: "Это Вы засунул троян в архив?" нет, о чём я ранее и писал
Смысл есть, тк есть вероятность, что он признается скажет что-то типа "ладно, не прокатило"(равносильно признанию) или начнёт уворачиваться типа "а это норма, просто выключите антивирус"(повод насторожиться).
Во втором случае можно попросить исходный код программы, чтобы пересобрать самостоятельно и перепроверить.
Василий Банников, тут согласен, я спросил, в итоге он сказал что понятия не имеет что троян делает в архиве, извинился и сказал что пересоберёт. Верим?
Shettest, мне очень не нравится тон, которым вы отвечаете. Если вам вопрос неприятен или вы не хотите
отвечать - то так и скажите. И я не буду спрашивать. Но вы дерзите на пустом месте. Я-бы так не делал.
Это знаешь как на самый важный вопрос в твоей жизни твоя женщина сказала-бы тебе - может выйду
за тебя а может и нет. Может я беременна а может и нет.
mayton2019, ложная тревога или нет я и правда не знаю, как это понять? Пострадал я или не пострадал тоже не совсем ясно, может быть вирус распространился и я об этом не в курсе. Поэтому ответил в укороченной форме, Вам не понравилось?
затираю потому что получил ответ на свой вопрос от Drno, его я и ждал. Все остальные сообщения немножко мусор.
Как его ответ коррелирует с вашим вопросом остается загадкой. Ответ про то как проверить "вирус ли это", вопрос же звучит "как проверить специально ли подолжили вирус".
- Ало, логика, ты где?
- Я вышла погулять...
Shettest, Во первых - мой ответ выше в комментариях, так как формально ответ оформить нельзя, скорее наоборот - можно пожаловаться на вопрос, который нарушает правила ресурса (правила как я вижу вы при регистрации не читали), на что уже есть несколько жалоб. Максимум имеет смысл дать комментарий. Во вторых, переход на личности на вполне адекватное замечание об отсутствии логики в сопоставлении вопроса и ответа говорит о том что вам пока рано общаться с настоящими людьми. Ну и в третьих - я с вами на брудершафт не пил, не стоит мне тыкать.
Shettest, мне не понравилось что вместо того чтобы ответить "я не знаю" - ты отвечаешь софизмами и парадоксами. Не надо этого делать... на будущее. Все таки ты - пришел с вопросом. И эксперты тебя спрашивают.
И твоя задача - сухо и по существу ответить.
Эмоции тебя обуревают? Подрядчик повел себя странно? Ну это-же уже тег другой. It-экспертиза уже тут непричем.
Надо смотреть какой у вас был договор.
откройте на изолированной виртуальнйо машине архив и посмотрите что там
прогоните его на сайте virustotal и можно еще на drweb
ну и киньте сюда что он покажет, может он просто ругается на неподписанный exe или bat файл
"Настоящий" Wacatic - довольно неприятная штука, типичный сервис удаленного доступа плюс стилер всего, до чего дотянулся. Правда, были сообщения о ложных детектах.
Что можно сделать:
1. Прогнать черезvirustotal и посмотреть итог
2. Уведомить исполнителя и получить от него исходники и инструкции по сборке проекта
3. Собрать проект самостоятельно и посмотреть на результат.
Проверьте через вирус тотал и сообщите о проблеме разработчику. ПО автоматизации часто использует специфические системные вызовы, которые не любят антивирусы, что и приводит к ложным срабатываниям. Запросите исходники и сами произведите сборку или же закажите проверку/аудит исходников другому специалисту. Либо, как вариант, попросить использовать какой-то другой софт автоматизации. Собственно, вполне реальный пример: у меня даже сейчас где-то в архивах лежат старые сборки софта для автоматизации, на которые периодически набрасываются антивирусы.
Это можно узнать, только спросив исполнителя и разобравшись, откуда вообще вирус пришёл.
Самостоятельно при помощи уже названных способов ты сможешь только проверить, было ли это ложное срабатывание.
Простой
