• 0
equilibrium

Дистанционное внедрение потока. Malicious.80d401 ?

Вопрос

При серфинге в интернет, обнаружил что Keyran пытается внедриться в процесс, при этом Keyran не активен.

25.12.2021  Внедрение кода [Заблокировано]
Детали: 
Процесс: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Действие: Дистанционное внедрение потока
Путь: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Подозрительный файл: C:\Program Files (x86)\Keyran\Keyran.exe
Информация о защите:

После проверки Keyran.exe на virustotal.com обнаруживает Malicious.80d401
https://www.virustotal.com/gui/file/3f761ea2db659a849c6d96828738ecbba87d31957fabfd104424b5e7c70e5a6b/detection
Дистрибутив скачивал с keyran.net после установки в корневой паке программы  устанавливается 3 файла:
5n61uST3Rv.exe
Keyran.exe
security.exe

Хотелось бы услышать официальный ответ от разработчика. Какие данные с компа уходят разработчику и зачем программе доступ к моему браузеру, когда она не активна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Рекомендуемые сообщения

  • 0
32 минуты назад, equilibrium сказал:

Драйвер Keyran не устанавливал, во время серфинга в Хром ваша программа была запущенна, но макросы не активны, тем более активация макроса была присвоена к окну игры, а не к браузеру Хром, но какое-то внедрение кода происходило. Поэтому не совсем понимаю политику работы вашей программы, когда она без каких либо разрешений пользователя использует перехват и тем более в тех программах где её об этом не просили. 

Программа использует глобальный перехват клавиш для активации макроса и горячих клавиш заданных в настройках программы. Только для этих задач и не для каких других. Эти данные никуда не передаются. Нажатие горячих клавиш на запуск/остановку программы отслеживаются так же в режиме простоя программы, то есть когда не нажата кнопка "Старт" и это логично, ведь чтобы запустить программу горячей клавишей ей нужно перехватить эти клавиши, определить, что были нажаты именно горячие клавиши программы. О каких политиках Вы говорите я не пойму, это нормальное состояние программы данной специфики. 

 

32 минуты назад, equilibrium сказал:

Обратите внимание, что ваш установочный файл Install.exe с сайта Keyran.ru также не проходит полной проверки:
https://www.virustotal.com/gui/file/5974d93fd17353070bf8c907b550abc41a4f917b94ecbba6378b99454bcd6f55/detection
"4 security vendors and 1 sandbox flagged this file as malicious" - Это так же ошибочное срабатывание от Virustotal ? Тогда можете пожалуйста как-то пояснить в чем заключается ошибка срабатывания?

Просто ложные срабатывания малоизвестных антивирусов. 

 

1 час назад, equilibrium сказал:

Программа полезная, но все ровно как-то странно себя ведет, может есть официальные рекомендации от Kaspersky lab, AVAST что смогут развеять все сомнения, иначе все это наводит на неприятные мысли. 

У Kaspersky и Avast есть программа «Whitelist» по которой мы сотрудничаем. Не знаю есть ли у них какие-либо списки партнеров, думаю можете запросить эту информацию у них. 

 

1 час назад, equilibrium сказал:

Извините, но название антивируса не могу сообщить из соображений своей безопасности, могу отметь, что антивирус лицензионный платный как и все чем я пользуюсь.

Dr Web судя по всему. И я не знаю почему он выдал такое предупреждение, Вы можете самостоятельно отправить им нашу программу на изучение. Думаю мои аргументы для Вас все равно не имеют какой-либо ценности. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
  • 0

equilibrium здравствуйте. 

Срабатывание Cybereason на Virustotal ошибочное, лишь 1 из 66. 

Если установлен и используется драйвер, то он устанавливается в стек драйверов и взаимодействие происходит через него. Если драйвер не установлен, то используются хуки для перехвата нажатий клавиатуры и WinAPI функции нажатия клавиш. Возможно что-то из этого Ваш антивирус считает подозрительным. 

Данные которые собирает программа описаны в лицензионном соглашении. 

Уточните пожалуйста каким антивирусом пользуетесь и в какой момент времени всплывает окно о блокировке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
  • 0

Драйвер Keyran не устанавливал, во время серфинга в Хром ваша программа была запущенна, но макросы не активны, тем более активация макроса была присвоена к окну игры, а не к браузеру Хром, но какое-то внедрение кода происходило. Поэтому не совсем понимаю политику работы вашей программы, когда она без каких либо разрешений пользователя использует перехват и тем более в тех программах где её об этом не просили. 

Обратите внимание, что ваш установочный файл Install.exe с сайта Keyran.ru также не проходит полной проверки:
https://www.virustotal.com/gui/file/5974d93fd17353070bf8c907b550abc41a4f917b94ecbba6378b99454bcd6f55/detection
"4 security vendors and 1 sandbox flagged this file as malicious" - Это так же ошибочное срабатывание от Virustotal ? Тогда можете пожалуйста как-то пояснить в чем заключается ошибка срабатывания?

Программа полезная, но все ровно как-то странно себя ведет, может есть официальные рекомендации от Kaspersky lab, AVAST что смогут развеять все сомнения, иначе все это наводит на неприятные мысли. 

Извините, но название антивируса не могу сообщить из соображений своей безопасности, могу отметь, что антивирус лицензионный платный как и все чем я пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

  • Чат

    У вас нет прав для общения в чате.
    Загрузить больше