SafeGroup
AIMP - zszedł na złą drogę ? - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: AIMP - zszedł na złą drogę ? (/thread-12500.html)



AIMP - zszedł na złą drogę ? - demisen - 28.12.2022

Przy próbie pobrania AIMP z oficjalnej strony:

[Aby zobaczyć linki, zarejestruj się tutaj]


Skanowanie

[Aby zobaczyć linki, zarejestruj się tutaj]


Wysłałem e-mail do ESET z zapytaniem czy to nie FP, ich odpowiedź:
Cytat:Thank you for your submission.
AIMP makers embed encrypted Yandex downloader in their setups.
The classification is correct.

I co o tym sądzić ? Nie jestem rusofobem, ale jakoś buildy sprzed wojny są czyste.


RE: AIMP - zszedł na złą drogę ? - wredniak - 29.12.2022

Możesz zapytać autora co robi dodatkowy downloader.
Być może chodzi o to, że to online installer plus z elementami zaszyfrowanymi w środku.
Ale nie mam ESETa więc mogę się mylić.
Kiedyś wykłócałem się z Avirą o FP z powodu jednego rara, którego sam spakowałem i wiem, że był czysty.
Jednak team Aviry stwierdził, że oni tam widzą zagrożenie i niewiele wskórałem.


RE: AIMP - zszedł na złą drogę ? - tachion - 30.12.2022

Tu ewidentnie widać że url jest blokowany co nie oznacza że instalator zawiera jakieś moduły które dodaje do rejestru i przeglądarek typu toolbar czy inne wyszukiwarki. Ja bynajmniej tu nic nie widzę. Więc można śmiało instalować.

Możliwe że z tego typu adresu były inne instalatory w których były zaszyte niechciane dodatki.


RE: AIMP - zszedł na złą drogę ? - wredniak - 01.01.2023

Jest wątek na forum AIMPa, autor twierdzi, że ten downloader jest już od dawna i jest celem pokazywania reklam. Podobno zmieniła się sygnatura i teraz antywirusy łapią to jako potencjalne zagrożenie. Autor nie zamierza tego usuwać z instalatora.


RE: AIMP - zszedł na złą drogę ? - demisen - 01.01.2023

(30.12.2022, 18:13)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Tu ewidentnie widać że url jest blokowany co nie oznacza że instalator zawiera jakieś moduły które dodaje do rejestru i przeglądarek typu toolbar czy inne wyszukiwarki. Ja bynajmniej tu nic nie widzę. Więc można śmiało instalować.

Możliwe że z tego typu adresu były inne instalatory w których były zaszyte niechciane dodatki.
Sam plik .exe też jest wykrywany jako zagrożenie, wyłączenie ochrony ESET i instalacja AIMPA, ponowne włączenie ESETA i po chwili krzyczy, że plik uninstal.exe z folderu AIMP jest zasyfiony. Tylko gdzie jest ten yandex jak po instalacji AIMPA nic dodatkowego nie ma, ba nawet AIMP żadnych reklam nie wyświetla. Więc OCB ? AIMPA używałem tylko dlatego, że był dla mnie klonem nie rozwijanego Winampa, a przypadkiem znalazłem to

[Aby zobaczyć linki, zarejestruj się tutaj]

szkoda tylko, że bazuje na Winamp 5.666, a nie na "prawilnym" 2.7x


RE: AIMP - zszedł na złą drogę ? - tachion - 01.01.2023

Instalator programu czy deinstalator tzw. uninstall.exe to te same pliki o tym samym hashu. Można zauważyć że przez eset jest wykrywany adres ip sieci należącej do Akamai

[Aby zobaczyć linki, zarejestruj się tutaj]

niegdyś aplikacja łączyła się po przez tą sieć serwerów. Obecne połączenie widoczne to 89.108.125.90 czyli

[Aby zobaczyć linki, zarejestruj się tutaj]


Ciekawiej jest na androidzie z ESET który nie wykrywa żeby instalator 64bitowy czy 32bitowy jak i na samego androida apka była jakaś szkodliwa.


RE: AIMP - zszedł na złą drogę ? - tommyklab - 20.01.2023

A jak ESET reaguje na wersję portable, czyli (No Installer)?
Wykrywa coś tam?


RE: AIMP - zszedł na złą drogę ? - tachion - 21.01.2023

Czy podczas skanu czy uruchomienia nic nie zostało wykryte, nawet przy zaawansowanej heurystyce - DNA Sygnatury

[Obrazek: 9ZeJwPM.png]
[Obrazek: iKrdNeA.png]