Packer.krunchy.a

benius
editat noiembrie 2007 în Discu355ii malware

Salutare! La o scanare profunda a sistemului cu BitDefender Antivirus v10 actualizat la zi a fost detectat un fisier executabil (un keygen) infectat cu "Packer.Krunchy.A". Din pacate antivirusul nu l-a putut dezinfecta si nici muta (in carantina, probabil), asa ca m-am gandit sa va cer un sfat. Pana acum n-am rulat acest executabil, doar l-am descarcat. Daca e nevoie voi upload-a fisierul cu pricina. Pe un alt forum se face referire la el ca un "false positive", dar nu am incredere, asa ca orice opinie e binevenita. Multumiri anticipate!


Am facut si o scanare online cu Kaspersky si acesta nu detecteaza nimic.

Comentarii

  • Salut benius,


    Daca ai dubii in privinta unui fisier, poti sa aflii parerea a 30+ antivirusi (stii proverbul: Unde-s multi, puterea creste ;) ). Intra pe www.virustotal.com, fa upload la fisierul respectiv (dezactiveaza BitDefender inainte, ca sa nu blocheze accesul la fisier. Atata timp cat fisierul respectiv nu ruleaza, nu este niciun pericol sa opresti, temporar, BitDfender). Dupa upload, in cateva minute (depinde cat de incarcat este serviciul), vei afla ce au gasit mai multi AV in acel fisier.


    De asemenea, poti sa pui fisierul respectiv intr-o arhiva zip, parola cu infected, si sa atasezi arhiva la urmatorul tau post. Un analist BitDefender se va uita la el si-ti va zice SIGUR daca fisierul e FP sau nu.


    Cris.

  • benius
    editat februarie 2009

    Multumesc, Cris. Oricum, dupa scanarea pe VirusTotal.com rezultatele sunt, in continuare, neconcludente. AVG detecteaza Win32/NSAnti, eSafe si Panda - suspicious file, Prevx1 - Heuristic: Suspicious Self Modifying EXE, VirusBuster - Packed/FRBR, Webwasher-Gateway - Virus.Win32.FileInfector.gen!90, CAT-QuickHeal - (Suspicious) - DNAScan, iar ceilalti antivirusi nu detecteaza nimic. Am upload-at arhiva ce contine executabilul presupus infectat, in speranta unei analize pertinente.

  • Fiindcă nimeni în afară de mine nu pare interesat de analiza acestui fişier, vă rog să consideraţi închis acest subiect, eu deja am eliminat fişierul de pe hard, deci nu mai este nici o ameninţare.

  • Am aruncat o privire peste el, este comprimat. Cel mai bine asteapta sa spuna un VR 100% daca reprezinta o amenintare sau nu. :)

  • Fisierul este curat, fiind detectat pentru ca foloseste un packer care in 99.9% din cazuri este folosit de malware. Pune-l intr-un director care este exceptat de la scanare daca vrei sa-l rulezi.

  • Multam fain.

  • Singura folosire "legitima" a acestui packer esta la comprimarea demourilor grupului Farbrausch.


    Daca se intalneste cu alte utilizari (crack-er, keygen etc.), este suspicios. In acest caz trebuie trimis fisierul respectiv echipei de analiza, si nu trebuie rulat pe calculator (eventual doar intr-o masina virtuala gen VMWare sau VirtualPC).


    Packer-ul in sine nu face nimic rau, doar comprima programul original, a se vedeai: http://www.bitdefender.ro/VIRUS-1000157-ro--Packer.html