AIMP - zszedł na złą drogę ?
#1
Przy próbie pobrania AIMP z oficjalnej strony:
[Obrazek: aimpeset.jpg]

Skanowanie na virus total

Wysłałem e-mail do ESET z zapytaniem czy to nie FP, ich odpowiedź:
Cytat:Thank you for your submission.
AIMP makers embed encrypted Yandex downloader in their setups.
The classification is correct.

I co o tym sądzić ? Nie jestem rusofobem, ale jakoś buildy sprzed wojny są czyste.
Odpowiedz
#2
Możesz zapytać autora co robi dodatkowy downloader.
Być może chodzi o to, że to online installer plus z elementami zaszyfrowanymi w środku.
Ale nie mam ESETa więc mogę się mylić.
Kiedyś wykłócałem się z Avirą o FP z powodu jednego rara, którego sam spakowałem i wiem, że był czysty.
Jednak team Aviry stwierdził, że oni tam widzą zagrożenie i niewiele wskórałem.
Odpowiedz
#3
Tu ewidentnie widać że url jest blokowany co nie oznacza że instalator zawiera jakieś moduły które dodaje do rejestru i przeglądarek typu toolbar czy inne wyszukiwarki. Ja bynajmniej tu nic nie widzę. Więc można śmiało instalować.

Możliwe że z tego typu adresu były inne instalatory w których były zaszyte niechciane dodatki.
Odpowiedz
#4
Jest wątek na forum AIMPa, autor twierdzi, że ten downloader jest już od dawna i jest celem pokazywania reklam. Podobno zmieniła się sygnatura i teraz antywirusy łapią to jako potencjalne zagrożenie. Autor nie zamierza tego usuwać z instalatora.
Odpowiedz
#5
(30.12.2022, 18:13)tachion napisał(a): Tu ewidentnie widać że url jest blokowany co nie oznacza że instalator zawiera jakieś moduły które dodaje do rejestru i przeglądarek typu toolbar czy inne wyszukiwarki. Ja bynajmniej tu nic nie widzę. Więc można śmiało instalować.

Możliwe że z tego typu adresu były inne instalatory w których były zaszyte niechciane dodatki.
Sam plik .exe też jest wykrywany jako zagrożenie, wyłączenie ochrony ESET i instalacja AIMPA, ponowne włączenie ESETA i po chwili krzyczy, że plik uninstal.exe z folderu AIMP jest zasyfiony. Tylko gdzie jest ten yandex jak po instalacji AIMPA nic dodatkowego nie ma, ba nawet AIMP żadnych reklam nie wyświetla. Więc OCB ? AIMPA używałem tylko dlatego, że był dla mnie klonem nie rozwijanego Winampa, a przypadkiem znalazłem to https://getwacup.com/preview/ szkoda tylko, że bazuje na Winamp 5.666, a nie na "prawilnym" 2.7x
Odpowiedz
#6
Instalator programu czy deinstalator tzw. uninstall.exe to te same pliki o tym samym hashu. Można zauważyć że przez eset jest wykrywany adres ip sieci należącej do Akamai https://www.virustotal.com/gui/ip-address/23.216.147.64 niegdyś aplikacja łączyła się po przez tą sieć serwerów. Obecne połączenie widoczne to 89.108.125.90 czyli https://www.virustotal.com/gui/ip-addres.../detection

Ciekawiej jest na androidzie z ESET który nie wykrywa żeby instalator 64bitowy czy 32bitowy jak i na samego androida apka była jakaś szkodliwa.
Odpowiedz
#7
A jak ESET reaguje na wersję portable, czyli (No Installer)?
Wykrywa coś tam?
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#8
Czy podczas skanu czy uruchomienia nic nie zostało wykryte, nawet przy zaawansowanej heurystyce - DNA Sygnatury

[Obrazek: 9ZeJwPM.png]
[Obrazek: iKrdNeA.png]
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości