Microsoft Visual Studio и BackDoor.Dandle.5

[fedorro]

А не думали что это ложное срабатывание, а управление перехвачено было по другой причине? Что-то мне кажется маловероятным, что в ПО на миллионах ПК есть троян десятилетней давности, и никто не заметил ...

[vilgeforce]

Да конечно это фолс.@doctorwebпосмотрите, если не путаю с Dandle у вас проблемы уже бывали...

[vilgeforce]

А не, наврал. с Dandle не было проблем, но зверь крайне редкий!

[Maratan]

По поводу ложного срабатывания, не исключал, но кроме BackDoor.Dandle.5 большегю ничегообнаружено не было. Дополнительно проверял Malwarebytes Anti-Malware, он ничего не обнаружил.

А вот с Dr.Web связаться не догадался, в ближайшее время попытаюсь. По результатам дам обратную связь, но не думаю, что это быстрый процесс.

[codev01_dev]

я конечно не эксперт но мне известно что существует ещё такой тип вредоносного ПО который подменяет важные системные файлы

в этом случае исполняемый файл ServiceHub.RoslynCodeAnalysisServiceS.exe не системный но все же файл и его так же можно было подменить тому самому вирусу на борту вашего ПК

[LordDarklight]

Очень странный был бы выбор для подмены - уж очень специфический файл. Обычно вирусы и эксплойты бью в куда более распространённые файлы. Но это в общем случае. А бывают персонализированные атаки на определённую жертву - и вот тут уже идёт куда более хитрый и завуалированный план атаки. Но доктор веб бы вряд ли в этом случае что-то нашёл бы в заражённом файле - тут зловреды пишутся индивидуально под жертву, если хакер не дилетант, конечно

[13werwolf13]

Некрософт и поддержка это несовместимые вещи, репорты по ошибкам и подозрительной активности их софта они раньше тупо игнорили, а тепепь вот так.

На их форумах все ответы от пользователей а не от сотрудников, и все "сам разобрался" или "нашёл на другом форуме". Даже bugzilla любого малоизветсного и/или полумёртвого дистрибутива линукс куда более активна и полезна.

[Fox_exe]

Сообщение про фишинг - это бот, который увидел вирус в прикреплённом файле и сработал штатно - а именно кинул распространителя вирусов (вас) в бан.

Ктож отправляет заражённые файлы в открытом виде? Такое обычно пакуют в запароленный архив.

[Einherjar]

Да и не совсем понятно нафига файлы то вообще отправлять было? Даже если допустить что в дистрибутиве есть малварь, то у разработчиков же есть дистрибутив и достаточно указать на то в каком файле смотреть.

[Maratan]

Он сделал это после того, как меня добавили в список исключения и сказали передали информацию группе разработчиков?

Отправить файлы попросила служба поддержки, правила отправки разъяснены не были, поэтому внутренней кухни не знал.

[vilgeforce]

Техника в руках дикаря превращается в груду металла... :-(

Слепая вера в антивирус - глупость. Вера в то, что у MS была мальварь и вы первый кто ее обнаружил - вдвойне глупость. Основываясь на трижды глупых посылках вы не пишете в Dr.Web с вопросом что же они там обнаружили, нет! Вы сразу пишете в MS, которые к детекту не имеют никакого отношения. Подумайте, на сколько "баллов" тянет отправка исполняемого и потенциально зараженного файла, когда вас о ней не просили? Результат немного предсказуем, увы...

[Groramar]

Рекомендую узнать что такое virustotal.com и чем он мог бы быть полезен в данной ситуации.

[vilgeforce]

Ссылку на VT автор не приложил, но вангую что там было бы... 1/63 детектов, файл от 2020 года или раньше, рескан новых детектов не добавил бы...

[vilgeforce]

Если что, ссылка на VT https://www.virustotal.com/gui/file/46013f968eb685415f1aad0a006ae85ff21aa54bd89417d5c5ec388da662fac2/details

[Maratan]

Спасибо за дополнение, добавил ссылку в дополнение к статьи.

В сообщении выше, Вы написали предположение о срабатывании, но опубликовав ссылку Вы же видите, что обнаружений нет.

[dartraiden]

У майков есть специальная форма, через которую следует отправлять подозрительные файлы. Её нетрудно найти, если вбить в поисковик фразу "Windows Defender send virus". Именно со стороны Защитника Windows тут и следовало заходить, т.к. если там реально вирус (вероятность чего крайне мала, но бог с ним), а Защитник его не детектирует — нужно отправить образец.

А не аттачить это прямо к письму и слать в поддержку.

[Maratan]

Спасибо за совет!

Воспользуюсь, параллельно с запросом в техническую поддержку Dr.Web.

[diakin]

Ну или "бот, который увидел вирус в прикреплённом файле ", или false positive. Вы определитесь, за что ТС ругать.

[vilgeforce]

Бот увидел не вирус, а исполняемый файл, о чем он явно написал

[HappyGroundhog]

Если есть твёрдая уверенность в том, что файл заражен, то Reddit или сеть Маска вам в помощь. Там инфа быстро дойдет до ответственных в MS.

[LordDarklight]

Пошёл проверять свой VS 17.6.1 который как раз находится в режиме отладки проекта Roslyn ;-)

[Maratan]

Здравствуйте, есть ли результат?

Версия 17.6.1 это VS 2022?

[LordDarklight]

Версия 17.6.1 это VS 2022?

Да

Здравствуйте, есть ли результат?

Такой файл "ServiceHub.RoslynCodeAnalysisServiceS.exe " у меня есть, но cureit в нём заразы не нашёл

Имя: ServiceHub.RoslynCodeAnalysisServiceS.exe
Расположение: C:\Program Files\Microsoft Visual Studio\2022\Enterprise\Common7\ServiceHub\Hosts\ServiceHub.Host.AnyCPU
Размер: 18440 байтов (18 KiB)
Версия файла: 4.2.8.64021
Название продукта: ServiceHub.Host.AnyCPU
CRC32: 71FB73C5
CRC64: BB00D4ADC21B2C2E
SHA256: c4d64f3bedea1264889366aa7284830d544fd3ba0ca96f444d3097229f44e758
SHA1: a8b954c2dd9aec805e5f410156d5e56db10d92b7
BLAKE2sp: 1482bdfe1f88b7b99ab42dfc75c6670eadbd405366b9788bddb7e949ca12cd68

Расположение:C:\Program Files\Microsoft Visual Studio\2022\Enterprise\Common7\ServiceHub\Hosts\ServiceHub.Host.Dotnet.x64

Имя: ServiceHub.RoslynCodeAnalysisServiceS.exe
Размер: 159224 байтов (155 KiB)
Версия файла: 4.2.8.64021
Название продукта: ServiceHub.Host.dotnet.x64
CRC32: 73847828
CRC64: C050EA136EC81924
SHA256: 0834c07573788155cb4d1599c4fa77d3d757102ac41b569bcdd5950e1af1a4c1
SHA1: 4d4cbcfdc589de4740cc81caf876eaf48dc67e47
BLAKE2sp: f650c06f9b4b68675cf580dd5e2bf328ee856b66f7f23bde609b91e553f394b5