Trojan-Dropper.Agent!IK

Dla specjalistów Bezpieczeństwo
#1

Przeskanowałem hitmanem kompa i jeden ze skanerów wchodzących w skanery zawarte w hitmanie, a mianowicie - Ikarus znalazł Trojana.

Log:

HitmanPro 3.7.0.185

www.hitmanpro.com

   Computer name . . . . : GUCIU-AB0344915

   Windows . . . . . . . : 5.1.3.2600.X86/1

   User name . . . . . . : GUCIU-AB0344915\guciu

   License . . . . . . . : Free

   Scan date . . . . . . : 2013-01-04 12:56:06

   Scan mode . . . . . . : Normal

   Scan duration . . . . : 2m 11s

   Disk access mode . . : Direct disk access (SRB)

   Cloud . . . . . . . . : Internet

   Reboot . . . . . . . : No

   Threats . . . . . . . : 1

   Traces . . . . . . . : 1

   Objects scanned . . . : 356 502

   Files scanned . . . . : 6 591

   Remnants scanned . . : 55 113 files / 294 798 keys

Malware _____________________________________________________________________

   C:\WINDOWS\system32\sfdrvrem.exe

          Size . . . . . . . : 20 992 bytes

          Age . . . . . . . : 11.7 days (2012-12-23 19:35:36)

          Entropy . . . . . : 7.6

          SHA-256 . . . . . : 4E54DED7D153452E866309FBC1BFB273C974716854F5450FD64CAFC95544D0E2

          Product . . . . . : StarForce Protection System

          Publisher . . . . : Protection Technology

          Description . . . : StarForce Protection Drivers Removal Tool

          Version . . . . . : 0.0

          Copyright . . . . : (c) Protection Technology, 2000-2004

        > Ikarus . . . . . . : Trojan-Dropper.Agent!IK

          Fuzzy . . . . . . : 113.0

Nie mogłem nie wiem niestety czemu sprawdzić pliku na VT w celu testu na False Positive bo wyskakuje monit - Nie odnaleziono pliku. Znalazłem więc w necie jakiś temat w którym była w jakiś logach ścieżka c:\windows\system32\sfdrvrem.exe Skopiowałem ją na virustotal i mi przeskanowało

Raport VT: https://www.virustot…sis/1357302345/ + Raport jotti: http://virusscan.jot…3d68e22e22b020c

O dziwo tutaj Ikarus milczy, więc już nie wiem jak potraktować ten plik. A nie chce usunąć z systemu czegoś w ciemno ;/

#2

To coś od Starforce http://www.runscanner.net/lib/sfdrvrem.exe.html Raportów nie mogę otworzyć ale taka sytuacja może się zdarzyć jeśli wersja bazy wirusów nie jest aktualna. Czy Hitman został uaktualniony przed skanem?

#3

raczej tak bo go dopiero co ściągnąłem

#4

To że go ściągnąłeś nie oznacza że baza wirusów jest aktualna, to raz - trzeba uaktualnić. Druga sprawa, wynik skanera do zignorowania.

#5

Raporty

Virustotal:

AVG Agent.UTG 20130104

TheHacker Posible_Worm32 20130103

TrendMicro-HouseCall TROJ_GEN.F47V0802 20130104

Jotti:

ClamAV 2013-01-04 PUA.Win32.Packer.Upx-28

AVG 2013-01-04 Agent.UTG

Ikarus 2013-01-04 Nic nie znaleziono

Teraz wychodze ale odezwe sie później, komputer zostawiam włączony na wszelki wypadek – Dodane 04.01.2013 (Pt) 18:21 – Po aktywowaniu 30dniowej licencji znalazło kolejnego oprócz w/w ;/

[code]

HitmanPro 3.7.0.185

www.hitmanpro.com


   Computer name . . . . : GUCIU-AB0344915

   Windows . . . . . . . : 5.1.3.2600.X86/1

   User name . . . . . . : GUCIU-AB0344915\guciu

   License . . . . . . . : Trial (30 days left)


   Scan date . . . . . . : 2013-01-04 18:26:10

   Scan mode . . . . . . : Normal

   Scan duration . . . . : 2m 7s

   Disk access mode . . : Direct disk access (SRB)

   Cloud . . . . . . . . : Internet

   Reboot . . . . . . . : No


   Threats . . . . . . . : 2

   Traces . . . . . . . : 2


   Objects scanned . . . : 356 763

   Files scanned . . . . : 6 716

   Remnants scanned . . : 55 101 files / 294 946 keys


Malware _____________________________________________________________________


   C:\System Volume Information\_restore{F31FF90D-270B-4213-AAF9-0D63B90557CD}\RP83\A0071461.exe

      Size . . . . . . . : 20 992 bytes

      Age . . . . . . . : 0.2 days (2013-01-04 13:01:00)

      Entropy . . . . . : 7.6

      SHA-256 . . . . . : 4E54DED7D153452E866309FBC1BFB273C974716854F5450FD64CAFC95544D0E2

      Product . . . . . : StarForce Protection System

      Publisher . . . . : Protection Technology

      Description . . . : StarForce Protection Drivers Removal Tool

      Version . . . . . : 0.0

      Copyright . . . . : (c) Protection Technology, 2000-2004

    > Ikarus . . . . . . : Trojan-Dropper.Agent!IK

      Fuzzy . . . . . . : 110.0


   C:\WINDOWS\system32\sfdrvrem.exe

      Size . . . . . . . : 20 992 bytes

      Age . . . . . . . : 12.0 days (2012-12-23 19:35:36)

      Entropy . . . . . : 7.6

      SHA-256 . . . . . : 4E54DED7D153452E866309FBC1BFB273C974716854F5450FD64CAFC95544D0E2

      Product . . . . . : StarForce Protection System

      Publisher . . . . : Protection Technology

      Description . . . : StarForce Protection Drivers Removal Tool

      Version . . . . . : 0.0

      Copyright . . . . : (c) Protection Technology, 2000-2004

    > Ikarus . . . . . . : Trojan-Dropper.Agent!IK

      Fuzzy . . . . . . : 113.0

Wirus widze z nazwy taki sam jak poprzedni tyle ze inna lokalizacja. Ignorowac je czy skasować?