Pak generic 005 что это за вирус

Архив номеров / 2010 / Выпуск №7-8 (92-93) / История одного вируса. Сорок антивирусов сочли его безвредным

История одного вируса
Сорок антивирусов сочли его безвредным

На примере зараженного файла хочу показать, как реагируют антивирусные компании на появление новых угроз

Любому системному администратору иногда приходится чистить компьютеры от вредоносных программ – будь то рабочие станции сотрудников или ноутбуки знакомых. Каждый из нас имеет свои предпочтения в плане использования антивирусных средств. И не секрет, что ни один антивирус не дает стопроцентной защиты компьютера. Но на порядком поднадоевшие вопросы пользователей посоветовать лучший антивирус мы всегда что-то однозначно советуем и даже порой с жаром готовы отстаивать любимый антивирус так, будто сами его писали.

Однако в погоне за внушительными цифрами известных антивирусу вредоносных программ иногда забывается один немаловажный, на мой взгляд, фактор – способность разработчика антивируса оперативно реагировать на появление новых угроз. Модификации различных типов вирусов, в том числе сборщиков паролей и смс-вымогателей, плодятся как грибы после дождя на благодатной отечественной правовой почве полной безнаказанности.

Когда в очередной раз я вручную вычистил с компьютера порно-блокер, то решил провести небольшое исследование, которое и опишу в этой статье.

Чтобы выяснить, насколько обнаруженный порно-баннер известен антивирусам, я воспользовался сервисом Virustotal [1].

Результаты анализа оказались следующими:

File name: virus.rar Submission date: 2010-06-16 14:03:21 (UTC) Result: 3/ 42 (7.1%) Panda 10.0.2.7 2010.06.16 Suspicious file Sunbelt 6454 2010.06.16 Trojan.Win32.Generic.pak!cobra TrendMicro 9.120.0.1004 2010.06.16 PAK_Generic.012

Таким образом , три из 43 антивирусов опознали файл как вирус , остальные же сочли его безвредным .

Следующим моим шагом была отправка файла для анализа в различные антивирусные лаборатории. Конечно, я не собирался это делать для всех оставшихся 39 антивирусов, поэтому решил остановиться на наиболее популярных в России разработчиках:

Файл на проверку был отправлен 16 июня 2010 года в промежутке между 18.00 и 19.00 по московскому времени (UTC+4) последовательно в следующие антивирусные компании.

После отправки можно не закрывать страницу – она будет периодически обновляться и содержать текущую информацию о ходе исследования файла, которая также будет дублироваться и на e-mail, если его указали при отправке файла. Первое уведомление о принятии файла для анализа приходит почти сразу же после отправки.

Форма для сообщения о новом вирусе – samples@eset.com.

Отправить файл на анализ в Symantec можно, поместив подозрительный файл вручную в карантин (разумеется, с использованием какого-нибудь из продуктов Symantec), а затем из карантина осуществив отправку. Другой вариант – воспользоваться сайтом Symantec. И хотя онлайн-сканера там я не обнаружил, зато через поиск нашел форму для отправки подозрительных файлов (см. рис. 4). В форме обязательно требуется указать не только файл для анализа, но и фамилию/имя и дважды адрес электронной почты. Комментарий опционален. Форма защищена CAPTCHA.

Похоже, файл сначала автоматически проверяется в Symantec по текущей базе, так как спустя 15-20 минут мне пришло уведомление о том, что в результате автоматического сканирования в присланном файле вирусов не обнаружено, и он будет сохранен для дальнейшего анализа. Спустя еще 20 минут пришло письмо, в котором говорилось, что файл принят к обработке.

Теперь, когда я сделал все от меня зависящее для противодействия пойманному порно-блокеру, мне оставалось только ждать плодов своих усилий.

Через час после отправки пришло письмо из Microsoft. Относительно исследуемого файла сообщалось следующее: Changes to detection currently undergoing testing. Я интерпретировал это как то, что это модификация известного вируса, и будет проводиться его дальнейшая проверка.

Однако не буду настаивать на том, что я понял фразу правильно, важно здесь то, что вердикт Microsoft еще не окончательный, и надо ждать дальше.

Eset хранил настоящее самурайское молчание, даже не посчитав нужным уведомить о принятии файла для анализа. Однако спустя четыре с лишним часа после отправки сообщил, что в присланном файле найден вирус Win32/LockScreen.UE trojan.

Спустя восем часов после отправки файла в почте вновь отметился Microsoft, написав, что обнаруженная модификация вируса Trojan:Win32/Calelk.C будет добавлена в антивирусную базу.

Для наглядности полученные результаты представлены в таблице 1.

Таблица 1. Время обнаружения нового вируса разработчиками антивирусов

1 час ESET

4 часа Microsoft

41 часа Symantec –

Не секрет, что в битве вирусов и антивирусов последние всегда чуть-чуть позади, так зачем еще и отворачиваться от потенциальных союзников?

Скорее всего защитник виндоус ошибается. Я бы на вашем месте отправил эту картинку в 1С обратной связью.

Может быть, но другие обновления загружаются нормально, в 1С письмо отправил.

Опытный 1сник даже внимание на такой бы не обратил. Тут автор мало того, что устроил истерику, так ещё и ник взял 1сник.

Ну, возможно он начинающий одинэсник, что плохого? И ник каждый может выбирать любой. Раз он решил написать про 1С в группу где сидят 1Сники, почему бы и не взять себе подобный ник?

Я не брал ник 1сник ,а еще я видел опытных специалистов, у которых данные были зашифрована шифровальщиками.

Ну если для вас это опытный специалист, то большие сомнения по поводу вашей квалификации.

1. это был сарказм

2. мне все равно что вы думаете о моей квалификации, от вас прёт какой-то напыщенностью, я вообще не понимаю, как можно из написанного, что-то, о квалификации определить.

Опытный 1Сник, наверное, тупо бы его запустил. Ну а че? Скачиваемый файл ведь из официального источника, хер ли он будет там заражен неизвестной гадостью, врут все эти защитники и антивирусы.

Мне вот кажется или это какой то странный вброс?

Не, я слышал про ложноположительные срабатывания на обновлениях регламентированной отчетности. А я нахожусь к источнику ближе чем можно представить. Не стесняйтесь, задавайте вопросы.

Если есть доступ к обновлениям можете сами проверить.

Если кому то интересно, получил ответ от компании 1С:

«Здравствуйте! Файлы чистые. Проблема заключается в том, что некоторые антивирусные программы относят алгоритм саморазархивирующегося файла к вирусу. Но это не так.

Большинство доверительных и общеупотребимых антивирусных программ не находят в файлах вирус.

Наши специалисты занимаются вопросом замены алгоритма. К сожалению, сроки замены назвать мы пока не можем.

Возможно, но раньше никогда на файлы скаченные с юзерсов не определялись как вирусные.

это может быть и не трояном. Просто возможно для установки обновления требуются действия, похожие на троянские - вот антивирус и ругается.

Я в универе тогда тоже вирусы пишу - ибо антивирус на сложные и длинные циклы ругается постоянно как будто вирус)

ммм а забрось ка его на VirusTotal

как по мне лже тревога

попробовал, если закинуть архив целиком, то выводит следующее:

CrowdStrike malicious_confidence_100% (D) Endgame malicious (high confidence)

K7GW Hacktool ( 655367771 ) McAfee-GW-Edition BehavesLike.Win32.Generic.rc

Qihoo-360 HEUR/QVM41.1.3B45.Malware.Gen SentinelOne static engine - malicious

Sophos ML heuristic Symantec ML.Attribute.HighConfidence

если же архив распаковать и проверить файлы по отдельности, то ничего не обнаружено.

Даже не знаю что ответить на это, МакАфи и Симантек очень авторитетные вещи.

ВНИМАНИЕ! Опасный вирус-шифровальщик для 1С

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя.

Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

"Управление торговлей, редакция 11.1"

"Управление торговлей (базовая), редакция 11.1"

"Управление торговлей, редакция 11.2"

"Управление торговлей (базовая), редакция 11.2"

"Бухгалтерия предприятия, редакция 3.0"

"Бухгалтерия предприятия (базовая), редакция 3.0"

Threat Name: PAK_GENERIC.005 Threat Family: PAK_GENERIC Type: Trojans Subtype: Trojan Length: Unknown Registry Clean-Up Tool: Free Download

Compatible with Windows 10, 8, 7, Vista and Windows XP

Optional Offer for WinThruster by Solvusoft | EULA | Privacy Policy | Terms | Uninstall

What is PAK_GENERIC.005?

PAK_GENERIC.005 is a trojan that comes hidden in malicious programs. Once you install the source (carrier) program, this trojan attempts to gain "root" access (administrator level access) to your computer without your knowledge.

Trojans like PAK_GENERIC.005 are difficult to detect because they hide themselves by integrating into the operating system. Once it infects your computer, PAK_GENERIC.005 executes each time your computer boots and attempts to download and install other malicious files. Upon successful execution, it deletes the source program, making it more difficult to detect.

What are Trojans?

Trojans are one of the most dangerous and widely circulated strains of malware. A trojan disguises itself as a useful computer program and induces you to install it. By the time that you discover that the program is a rogue trojan and attempt to get rid of it, a lot of damage has already been done to your system.

The intent of a trojan is to disrupt the normal functionality of a computer, gradually stopping it from working altogether. Trojans can make genuine software programs behave erratically and slow down the operating system. Trojans can delete files, monitor your computer activities, or steal your confidential information. They can enable attackers to have full access to your computer… as if they are physically sitting in front of it.

Optional Offer for WinThruster by Solvusoft
EULA | Privacy Policy | Terms | Uninstall

star rating here

Optional Offer for WinThruster by Solvusoft
EULA | Privacy Policy | Terms | Uninstall

How did PAK_GENERIC.005 get on my Computer?

Like other trojans, PAK_GENERIC.005 gains entry through source programs carrying a trojan payload that you unknowingly install. Common sources of such programs are:

• Malicious websites designed specifically to inject Trojans
• Legitimate websites infected with Trojans
• Email attachments
• Fake updates presented for installed software
• Peer-to-peer sharing software
• Malicious video players and codecs
• Free downloadable games
• Chat software
• IRC channels
• Social media links pointing to infected files or websites

Symptoms of PAK_GENERIC.005 Infection

The primary symptoms of PAK_GENERIC.005 infections are:

• Unnatural network activities: You might experience unnatural network activities resulting into slow network (Internet) speed because the trojan attempts to access your network to download other malicious programs.
• Registry modifications. PAK_GENERIC.005 attempts to add new registry entries and modify existing ones. As a result, you will gradually notice slow and unusual computer behavior.
• Change in browser settings: PAK_GENERIC.005 installs rogue files, particularly with the function of modifying your browser proxy-related settings. As a result, your Internet access slows down and unwanted websites keep getting loaded through pop-ups or directly in the active browser window.
• Slow computer: You might experience your computer booting up slowly, due to unknown startup programs downloaded by PAK_GENERIC.005. You might also experience your computer performing slowly due to these malicious downloaded programs.

Removing PAK_GENERIC.005 from your Computer

PAK_GENERIC.005 is difficult to detect and remove manually. However, most anti-malware programs are able to detect and remove it successfully. Scanning your computer with one such anti-malware will remove PAK_GENERIC.005 and any files infected by it.

Unfortunately, scanning and removing the threat alone will not fix the modifications PAK_GENERIC.005 made to your Windows Registry. You will need to clean Windows Registry by removing invalid registry entries using a registry cleaner program.

If your computer is infected with PAK_GENERIC.005, perform the following steps to remove it:

1. Use an anti-malware program to scan and remove the threat
2. Clean your Windows Registry

Removal Solution: Use an Anti-Malware Program

We recommend using ClamWin (free download), a highly effective and widely used malware removal program to clean your computer of PAK_GENERIC.005. In addition to PAK_GENERIC.005, this program can detect and remove the latest variants of other malware.

ClamWin has an intuitive user interface that is easy to use. To get rid of PAK_GENERIC.005, the first step is to install it, scan your computer, and remove the threat.

To remove PAK_GENERIC.005 from your computer using ClamWin, you need to perform the following steps:

Double-click the downloaded installer file to start the installation process. The welcome screen is displayed.

Click the Next button.

On the License Agreement screen that appears, select the I accept the agreement radio button, and then click the Next button.

On the Select Installation Options screen that appears, click the Next button

On the Select Destination Location screen that appears, click the Next button

On the Select components screen that appears, click the Next button

On the Select Start Menu Folder screen that appears, click the Next button

On the Select Additional Tasks screen that appears, click the Next button

On the Ready to Install screen that appears, click the Install button

The Installation process of ClamWin starts

After the Installation completes, click the Finish button

When you start ClamWin, it prompts you to download the Virus Definitions Database. Click the Yes button.

ClamWin starts updating the Virus Definitions Database

Once the update completes, select one or more drive to scan. You can hold the Shift key to select multiple drives to scan. Click the Scan button.

ClamWin starts the scanning process to detect and remove malware from your computer.

By now, your computer should be completely free of PAK_GENERIC.005 infection. Although it has been removed from your computer, it is equally important that you clean your Windows Registry of any malicious entries created by PAK_GENERIC.005.

Cleaning Windows Registry

An infection from PAK_GENERIC.005 can also modify the Windows Registry of your computer. It can maliciously create new registry entries and modify existing ones. Therefore, even after you remove PAK_GENERIC.005 from your computer, it’s very important to clean the registry.

We recommend downloading and using CCleaner, a free Windows Registry cleaner tool to clean your registry. To clean your registry using CCleaner, please perform the following tasks:

Double-click the downloaded installer file to start the installation process. The welcome screen is displayed.

Click the Next button.

Click the Install button to start the installation.

Click the Finish button to complete the installation process and launch CCleaner.

Click the Registry button in the CCleaner main window.

Click the Scan for Issues button to check for PAK_GENERIC.005 registry-related issues.

Click the Fix Selected Issues button to fix registry-related issues that CCleaner reports.

Click the Yes button when CCleaner prompts you to backup the registry.

Type a file name to backup the registry in the File Name text box of the Save As dialog box, and then click the Save button.

Click the Fix All Selected Issues button to fix all the issues.

Click the Close button after CCleaner reports that the issues have been fixed.

Click the Close ( ) button in the main window to exit CCleaner.

Your Windows Registry should now be cleaned of any remnants or infected keys related to PAK_GENERIC.005.

Optional Offer for WinThruster by Solvusoft | EULA | Privacy Policy | Terms | Uninstall

Conclusion

Trojans such as PAK_GENERIC.005 can cause immense disruption to your computer activities. The best method for avoiding infection is prevention; avoid downloading and installing programs from untrusted sources or opening executable mail attachments.

Following these simple preventative measures will ensure that your computer remains free of infections like PAK_GENERIC.005, and provide you with interruption-free enjoyment of your computer.

Are You Still Experiencing PAK_GENERIC.005 Issues?

Please reach out to us anytime on social media for more help:

Optional Offer for WinThruster by Solvusoft | EULA | Privacy Policy | Terms | Uninstall

Optional Offer for WinThruster by Solvusoft | EULA | Privacy Policy | Terms | Uninstall

About The Author: Jay Geater is the President and CEO of Solvusoft Corporation, a global software company focused on providing innovative utility software. He is a lifelong computer geek and loves everything related to computers, software, and new technology.

В который раз, обучая свой антивирус правильному распознаванию некоторых, “не простых” (скажем так) файлов на моем жестком диске после плановой переустановки Windows, я решил осведомиться, как обстоят дела на этом фронте у большинства пользователей, чьи знания не превышают среднего уровня. Просмотр популярных форумов сразу же дал понять, что дела эти обстоят плохо, если не сказать хуже. Поэтому и было решено произвести некоторую ликвидацию безграмотности по теме запакованных исполняемых файлов.

Разнообразные упаковщики исполняемых файлов повсеместно используются в целях сокращения занимаемого файлом места на жестком диске, это способствует ускорению загрузки файла в оперативную память, а, следовательно, и общему ускорению запуска программы. Некоторые упаковщики совмещают сжатие с шифрованием, что позволяет разработчикам, если не предотвратить, то хотя бы максимально затруднить декомпиляцию их продуктов, поэтому очень часто можно встретить упакованные исполняемые файлы в составе какого-либо лицензионного продукта – шифрование ставит достаточно мощный барьер на пути взломщиков платного софта. Правда, и взломщики обычно по мелочи не работают, но не будем уходить от темы.

С другой стороны, обработка исполняемого файла шифрованием очень широко используется и вирусописателями, ведь в зашифрованном файле вирус обнаружить на порядок сложнее. Простое внесение сигнатуры файла в антивирусную базу спасет положение лишь до ближайшей переупаковки вируса, которая иногда может автоматически выполняться и самим вирусом.

В большинстве случаев один пропущенный вирус, если ему удалось запуститься, способен отключить всю защиту и в дальнейшем притащить за собой столько своих собратьев, сколько захочет, а зачастую – даже больше, чем захочет. Именно поэтому, многие современные антивирусы, в своем стремлении обеспечить максимальный уровень безопасности, видят вирус даже там, где его нет. Если абсолютная чистота файла не доказана и существует, хотя бы небольшая, вероятность наличия в файле вредоносного кода, то файл считается опасным. Довольно часто “ложная тревога” срабатывает на исполняемых файлах, упакованных мощными упаковщиками, – такими как: Upack (WinUpack), NSPack, MEW, FSG. Подобные файлы иногда даже не просто отмечаются как “подозрительные”, требующие индивидуального исследования специалистом, а определяются как вирус, помещаются в карантин или принудительно удаляются. Отношение антивируса к таким файлам может зависеть не только от его версии и производителя, но и от выбранного пользователем режима настроек. Да, сегодня многие антивирусные продукты позволяют выбрать такую степень защищенности, при которой блокироваться будет все, что шевелится, а что не шевелится – будет антивирусом предварительно расшевелено и заблокировано. И с этим приходится мириться, ведь даже такие меры не могут гарантировать 100% безопасности.

Целиком и полностью полагаясь лишь на возможности антивируса, мы, в зависимости от выбранной политики безопасности, можем прийти либо к тому, что любые подозрительные файлы будут удаляться, либо к тому, что удаляться будут только явные вирусы. Второй вариант кажется наиболее логичным, но только, если забыть, что вирусы обычно появляются раньше, чем лекарство от них. А вот удаление всего подозрительного, хотя и обеспечивает максимальный уровень защиты, зато ставит под угрозу удаления многие полезные программы, не попавшие в ТОП-100 наиболее популярного софта. Тем не менее, этот вариант, с точки зрения безопасности, выглядит оптимальным: лучше заблокировать несколько подозрительных файлов, чем пропустить один вирус, который может испортить все файлы на жестком диске. Все просто и доступно, не так ли?

Все дело в том, что любой упакованный исполняемый файл в статическом состоянии, безусловно, является черным ящиком, мистером Икс или котом в мешке, если хотите. Для определения наличия вредоносного кода в упакованном файле недостаточно статического сканирования. Для того чтобы определить функциональное содержание упакованного файла, его необходимо запустить. Ведь упакованный исполняемый файл – это не какой-нибудь там архив, который запакован и распаковывается по определенному алгоритму. Чтобы просканировать архив на отсутствие вирусов, его достаточно распаковать по четко определенному алгоритму. А с упакованными исполняемыми файлами все иначе. Там много всего намешано, много всяческих чисто программных трюков, оптимизаций и прочего, прочего. Может даже не быть четкого момента, в который можно было бы поставить процесс на паузу и увидеть в оперативной памяти целостный код распакованной программы. Но, не запустив файл на исполнение, мы точно не сможем увидеть его содержимое. Значит, надо запускать, хорошо… А вдруг это вирус, а мы его запустим, что дальше? Дальше – тихий шелест мыслей и аплодисменты хлопающих век.

Есть мнение, что в современных условиях стоит собирать в базу не только вирусы, но и заведомо чистые файлы. То есть создавать “белый список” проверенных файлов из числа тех, которые могут быть упакованы, а все непроверенные файлы помещать в карантин. Понятное дело, что такая база будет иметь огромный размер и возможно даже не влезет на DVD-диск, даже если в ней будут содержаться только сигнатуры самых распространенных файлов. А если даже и влезет, то представьте, сколько понадобится специалистов, чтобы своевременно вносить в базу обновившиеся продукты и сколько дисков с обновлениями! В общем, это не вариант.

Прогрессивные разработчики антивирусов предлагают такую стратегию проверки, при которой сжатые файлы запускаются в так называемой “песочнице” (sandbox). В данном смысле, песочница – это виртуальная среда, организуемая средствами антивируса для запуска в ней особо подозрительных объектов. Запущенные в ней программы будут иметь ограниченные права, а доступ к критическим областям системы, будет разрешаться только виртуально и только после предварительного анализа намерений программы антивирусом или с разрешения пользователя.

Такой подход помогает перейти антивирусным системам на совершенно новый уровень по сравнению с текущими методиками конца прошлого века. Но и тут не все гладко, даже если смириться с многократным снижением производительности. На словах все легко и безопасно, а вирусописатели ведь тоже на результат работают. В итоге все идет к тому, что будет и небольшой белый список для самых-самых, и песочница для тех, кто “мордой не вышел”, и старую систему с черным списком и эвристикой тоже никто не отменяет. Скажу больше: это все уже есть, но работает оно пока еще не совсем так, как хотелось бы, поэтому я и говорю “будет”. А к тому времени, когда оно будет, вирусы тоже научатся маскироваться под доверенные приложения и вылезать из песочниц через подземные ходы. Нам же остается не терять самообладания в этом потоке информации, и не становиться параноиками. В конце концов, важные данные можно ежедневно бэкапить, как положено, на три и более различных носителя, а то, что неважно – о том и не переживать.

Ну и напоследок, в вопросе “Packed/Upack – вирус или нет?” решение, безусловно, за вами, но в наши дни я бы не доверял антивирусам, которые блокируют все подряд упакованные файлы. Безопасность данных, конечно, превыше всего, но согласитесь ли вы для полной безопасности выключить компьютер и убрать его в сейф?

P.S. Собирая материал для данной статьи, ваш покорный слуга в очередной раз уверился, что, чем более доступной становится та или иная область знаний, тем ниже и ниже опускается общий уровень понимания этой области. Казалось бы, – парадокс? Нет, к сожалению, это закономерность, свойственная современному человеческому обществу: деградировать в погоне за прогрессом.

Тем, кому собственный антивирус помешал произвести эксперимент с упаковкой заведомо чистого экзешника для отправки его на мульти-антивирусный тест, посвящается.