Вход
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

kprocesshacker.sys - потенциально опасное ПО , или нет ?

1
RSS
 
Cetim Cetim
Cetim Cetim
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 09.10.2018
Размещено 09.10.2018 16:53:56
Делал запрос в техническую поддержку Eset Nod . Номер запроса - 0001269077 . Мой комментарий был такой - " https://www.virustotal.com/#/file/0f97f6d53fff47914174bc3a05fb016e2c02ed0b43c827e5e5aadb­a2d244aecc/detection  Возможно, что данный файл (kprocesshacker.sys) следует детектировать как потенциально опасное ПО. Этот файл - драйвер программы Process Hacker."

Никакого ответа не получил, кроме "Ваш запрос передан лабораторию ESET. Дождитесь, пожалуйста, нашего ответа."

Можно ли узнать, почему лаборатория Eset Nod не считает файл "kprocesshacker.sys"  потенциально опасным ? Касперский и Доктор веб занесли его в свои базы как "Not-a-Virus" и "Tool" (потенциально опасное ПО).
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6177
Баллов: 4941
Регистрация: 25.05.2010
Размещено 09.10.2018 17:27:29
Кому решать, как не компании ?
В ESET приняли такое решение.

Process Hacker - программа известная, известен её разработчик.

Программа искусственно не навязывается.
т.е. Использовать программу, или нет решать вам.
 
Cetim
Cetim
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 09.10.2018
Размещено 10.10.2018 10:21:41
Вот 2 темы, на форуме Доктор веба и Касперского. Приведу оттуда цитаты

https://forum.drweb.com/index.php?showtopic=329116


"Данный драйвер используется в целенаправленных атаках, поэтому он добавлен в базы и исключен от туда не будет."
"Малвари ничего не мешает подключится к рабочему драйверу, оставляя этот  драйвер, тем самым вы оставляете огромную дыру с правами системы для  компрометации."


Вирус отключает KES 10  -    https://forum.kaspersky.com/index.php?/topic/386051-%D0%B2%D0%B8%D1%80%D1%83%D1%81-%D0%BE%D1%82%D0%B...


Сообщение от пользователя vimin, цитата ---->
"Попробую внести ясность. После заражения на компьютере устанавливается  драйвер KProcessHacker (файл x64.sys), служба "Plug-and-Play Service  1.0" (файл umpnpsvc.exe), а также набор библиотек выполняющих  крипто-майнинг (файлы имеют псевдо-случайное имя и расширение). После  своего запуска, служба Plug-and-Play Service 1.0, при помощи  "легитимного" драйвера KProcessHacker блокируется запуск антивирусов, а  затем производит внедрение кода библиотек крипто-майнинга в легитимные  процессы (services.exe, winlogon.exe и т.д.). Это не однозначный  вердикт, я возможно ошибаюсь, т.к. не являюсь вирусным аналитиком, но в  подтверждение своей теории могу констатировать, что на мой взгляд  система возвращается к нормальной работе, именно после удаления  регистрации указанных выше службы и драйвера и их файлов. Разумеется это  производится с загрузочного носителя, так как попытка завершения  вредоносного процесса приводит к перезагрузке ОС."  --------- конец цитаты.
 
Мартынов Николай
Мартынов Николай
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 10.10.2018 11:57:23
Цитата
Можно ли узнать, почему лаборатория Eset Nod не считает файл "kprocesshacker.sys"  потенциально опасным ? Касперский и Доктор веб занесли его в свои базы как "Not-a-Virus" и "Tool" (потенциально опасное ПО).

Цитата
Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
10.10.2018 13:56:28;Защита в режиме реального времени;файл;C:\vir\kprocesshacker.sys;модифицированный Win64/ProcessHacker.A потенциально опасная программа;очищен удалением;nickm;Событие произошло в файле модифицированном приложением: C:\Program Files\Far Manager\Far.exe (CB75BFB289BC84C9354E2C73F5B6CDD83DF638E4).;624A63232E0ACC4992CE01F3E836711E4F6DA2F1;18.05.2017 12:48:55
 
1
Читают тему (гостей: 1)