Вирусы (Python скрипты) - Форум технической поддержки ESET NOD32

Сообщений: 2

Баллов: 1

Регистрация: 25.06.2023

Размещено 25.06.2023 16:39:54

Добрый день.
Не знали куда написать. Но объясню вкратце суть ситуации..

Есть программа Unity и для него файлы формата .unitypackage
В данный файлы .unitypackage встраивают вирусы. (обычно это идут Python скрипты и прочее)
Что при открытии файлов .unitypackage в самом Unity - вирусы активируются и крадут все ваши данные. (пароли с браузера.. всю личную информацию и прочее) и передают их злоумышленнику.

При сканировании .unitypackage антивирусом
ESET NOD32 Internet Security или ESET NOD32 Антивирус
Антивирусы не чего не находят и говорят - что файл безопасен.

Естественно у меня появляются вопросы к разработчикам антивируса ESET NOD32 Internet Security
Может что-то с этим сделаете ? Ведь тысячи если не миллионы пользуются программой Unity. И выходит что таким методом у них крадут все их данные.
Можете ли вы что-то сделать с своим продуктом ESET NOD32 Internet Security - чтобы при сканировании того же файла .unitypackage - ваш антивирус видел вирусы ? Или для чего тогда вообще нужен ESET NOD32 Internet Security, если он не видит вирусы ?

Как мы понимаем данный вирус делает какой то человек и распространяет его в интернете. Из-за чего любой можешь воровать ваши пароли и все данные.
Информация на это.
https://github.com/Hawkish-Team/Hawkish-Grabber
https://hawkish.eu/

И естественно прикрепили файл в котором мы это обнаружили - этот вирус (но увы обнаружили руками. А не антивирусом ESET NOD32 Internet Security и естественно все наши данные уплыли непонятно кому)
http://www.mediafire.com/file/7zak3o2s1zwqgvi/NyxenUpdate3.unitypackage

Хотелось бы услышать хоть какой то фитбэк от разработчиков ESET NOD32 Internet Security
А так же решить как то данную ситуацию с подобными вирусами.

p.s. c PRO32 та же ерунда что и с ESET NOD32 Internet Security, вообще не видит.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.06.2023 16:56:40

Цитата
A A написал: p.s. c PRO32 та же ерунда что и с ESET NOD32 Internet Security, вообще не видит.

А кто-нибудь из других антивирусов видит вредоносные функции в данных (или подобных) файлах?

Попробуйте открыть тему на техническом форуме ESET а этом разделе:
https://forum.eset.com/forum/30-malware-finding-and-cleaning/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 25.06.2023

Размещено 25.06.2023 17:12:27

Цитата

написал:

Цитата
A A написал: p.s. c PRO32 та же ерунда что и с ESET NOD32 Internet Security, вообще не видит.

А кто-нибудь из других антивирусов видит вредоносные функции в данных (или подобных) файлах?

Попробуйте открыть тему на техническом форуме ESET а этом разделе:
https://forum.eset.com/forum/30-malware-finding-and-cleaning/

Нет. Не видит. В этом то и огромная проблема. Проверяли через многие антивирусы. Тупо не видят.
Мы там создали такую же тему. Но там она на модерации.. И мы не знаем когда опубликуют.

Изменено: A A - 25.06.2023 17:15:04

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.06.2023 17:30:08

Цитата
A A написал: Мы там создали такую же тему. Но там она на модерации.. И мы не знаем когда опубликуют.

Вы можете подключиться к обсуждению в данной теме:

Цитата
Based on what I read here: https://github.com/Hawkish-Team/Hawkish-Grabber , I would say detection likelihood would be low.

Цитата
Blocking execution of Python scripts via a HIPS is somewhat "an effort in futility" given the multiple ways the scripts can be run: https://realpython.com/run-python-scripts/ . Now if Eset HIPS had the capability to block read access of a file plus global file wildcard use capability, then a HIPS rule could be created to block/ask for .py and .pyw file access. Finally, .py scripts can be converted to a .exe just like .bat, etc. scripts can be . The main danger of Python scripts is they are not parsed by Win AMSI interface. On the other hand, AMSI is being bypassed so much by malware these days, its probably a moot point.

Цитата

Blocking execution of Python scripts via a HIPS is somewhat "an effort in futility" given the multiple ways the scripts can be run: https://realpython.com/run-python-scripts/ .

Now if Eset HIPS had the capability to block read access of a file plus global file wildcard use capability, then a HIPS rule could be created to block/ask for *.py and *.pyw file access.

Finally, .py scripts can be converted to a .exe just like .bat, etc. scripts can be .

The main danger of Python scripts is they are not parsed by Win AMSI interface. On the other hand, AMSI is being bypassed so much by malware these days, its probably a moot point.

https://forum.eset.com/topic/36819-detecting-of-malicious-scripts-py-in-the-unitypackage-files

[ Как создать образ автозапуска? ]

Вирусы (Python скрипты) , Вирусы (Python скрипты)