29.12.2014, 15:45
Wspólnie z tachionem przyjrzeliśmy się trochę sprawie.
Ten plik, który wykrywa MBAM jest to zaplanowane zadanie w Windows.
Sam skrypt nie wygląda na szkodliwy, a tym bardziej nie widać żeby był powiązany w jakikolwiek sposób z PUP.Optional.CrossRider.A.
Z opisu na początku wynika, że ma on zapobiegać przed ponowną instalacją poprzez kanały promocyjne po deinstalacji programu.
Jak ktoś chce może bliżej się temu przyjrzeć, tutaj link do kodu skryptu
Ogólnie jeśli chodzi o wykrycie MBAMa to, wykrywa on ten plik tylko na podstawie jego nazwy i lokalizacji C:\Windows\System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633.
Nie ma znaczenia co znajduje się w tym pliku, na dobrą sprawę sami możemy wrzucić pusty plik o nazwie 060184C3-9766-46a0-B258-F4518A0B2633 do folderu C:\Windows\System32\Tasks\ i MBAM też go wykryje jako PUP.Optional.CrossRider.A, nie potrzeba instalacji Baidu AV do tego.
Na VT nic nie wykrywa tego pliku, z MBAM włącznie
Podsumowując.
Jak widać nie najlepszym sposobem jest wykrywanie plików tylko po ich lokalizacji i nazwie, bez analizy zawartości, tak jak to w tym przypadku zrobił MBAM. Nie widać żeby Baidu AV sam z siebie pobierał, czy był związany z typową infekcją PUP.Optional.CrossRider.A (wyświetlanie reklam, instalacja wtyczek do przeglądarki, zmiana strony startowej).
Odnośnie skuteczności, testowałem wczoraj Baidu AV na CTB Locker - Critroni, i sobie nie poradził, w przeciwieństwie do F-Secure, który zablokował program DeepGuardem czy Nortona - wykrył szkodliwe działanie SONARem.
Wiem, że to jeden szkodliwy program z miliona innych, ale wcześniej jak testowałem Baidu też nie radził sobie jakoś wyjątkowo dobrze, raczej przeciętnie. Są lepsze programy jeśli chodzi o skuteczność.
Ten plik, który wykrywa MBAM jest to zaplanowane zadanie w Windows.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać poprzez systemowy CScript.exe uruchamiany jest DuplicateRecord.js znajdujący się w folderze C:\ProgramData\Baidu SecuritySam skrypt nie wygląda na szkodliwy, a tym bardziej nie widać żeby był powiązany w jakikolwiek sposób z PUP.Optional.CrossRider.A.
Z opisu na początku wynika, że ma on zapobiegać przed ponowną instalacją poprzez kanały promocyjne po deinstalacji programu.
Kod:
Purpose : Prevent re-install through promotion channels after uninstallation
[Aby zobaczyć linki, zarejestruj się tutaj]
Skan z VT[Aby zobaczyć linki, zarejestruj się tutaj]
Ogólnie jeśli chodzi o wykrycie MBAMa to, wykrywa on ten plik tylko na podstawie jego nazwy i lokalizacji C:\Windows\System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633.
Nie ma znaczenia co znajduje się w tym pliku, na dobrą sprawę sami możemy wrzucić pusty plik o nazwie 060184C3-9766-46a0-B258-F4518A0B2633 do folderu C:\Windows\System32\Tasks\ i MBAM też go wykryje jako PUP.Optional.CrossRider.A, nie potrzeba instalacji Baidu AV do tego.
Na VT nic nie wykrywa tego pliku, z MBAM włącznie
[Aby zobaczyć linki, zarejestruj się tutaj]
Podsumowując.
Jak widać nie najlepszym sposobem jest wykrywanie plików tylko po ich lokalizacji i nazwie, bez analizy zawartości, tak jak to w tym przypadku zrobił MBAM. Nie widać żeby Baidu AV sam z siebie pobierał, czy był związany z typową infekcją PUP.Optional.CrossRider.A (wyświetlanie reklam, instalacja wtyczek do przeglądarki, zmiana strony startowej).
Odnośnie skuteczności, testowałem wczoraj Baidu AV na CTB Locker - Critroni, i sobie nie poradził, w przeciwieństwie do F-Secure, który zablokował program DeepGuardem czy Nortona - wykrył szkodliwe działanie SONARem.
Wiem, że to jeden szkodliwy program z miliona innych, ale wcześniej jak testowałem Baidu też nie radził sobie jakoś wyjątkowo dobrze, raczej przeciętnie. Są lepsze programy jeśli chodzi o skuteczność.