Pdm trojan win32 generic что это

PDM:Trojan.Win32.Generic не лечится

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

Привет! В какой-то момент начали дико тормозить мои рабочие программы САПР, типа солидворк и автокад. Другие программы тоже еле работают, хотя раньше все было нормально.
Не удается установить ни один антивирус, какой только не пробовал. Виндоус дефендер тоже не запускается (типа администратор ограничил доступ, что-то в это роде). Винда 11, обновленная.
KVRT проблем не обнаруживает, Drweb curelt нашел что-то с названием «майнер», удалил, но ничего не изменилось.

Надеюсь на вашу помощь, с меня магарычи)) Тк переустанавливать все с нуля это кромешный ад)
CollectionLog-2023.09.02-16.22.zip

Добрый день, не можем удалить Trojan.Multi.GenAutorunProc.a Симтомов никаких. Только уведомление,

После обычно перезагрузки, через какое то время проявляется при проверке.

Kaspersky Internet Security находит, что вирус в системной памяти, но все повторяется после лечения с перезагрузкой.

Pdm trojan win32 generic что это

2 апр. 2020 в 10:50

После установки игры из клиента Steam и первом запуске антивирус Kaspersky Internet Security 2020 (20.014.1085 (i)) обнаружил в исполняемом файле вирус идентифицируемый как PDM:Trojan.Win32.Generic. После лечения игра неработоспособна. Повторная проверка файлов игры через клиент Steam и докачки сценарий повторяется.
Ссылка на скрин сообщения от антивируса [i.ibb.co]

Как это понимать?
P.S. С другими играми проблем нет, компьютер не заражен вирусами, антивирус лицензионный.

Ваш случай в английской ветке — отпишитесь туда, там скорее разрабы увидят.
Хотя имхо тут скорее сотрудникам Касперского надо разбираться.

Технология разоблачения Red October

Еще одна мировая киберугроза раскрыта экспертами Лаборатории Касперского. На этот раз речь идёт о целевой атаке, а точнее обширной сети кибершпионажа против дипломатических и государственных структур, НИИ, промышленных компаний и военных ведомств разных стран.

Этому событию предшествовало расследование Red October, которое началось в октябре 2012 года, когда по просьбе одного из наших партнеров мы провели анализ атаки и вредоносных модулей на тот момент еще неизвестного вредоносного кода. Это помогло нам определить истинные размеры кампании, которая, как оказалось, охватывает около 20 стран мира.

Расследование показало использование как минимум четырех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word), CVE-2011-3544 (Java). Эксплойты используются в документах, рассылаемых в ходе целевых фишинговых атак. После открытия такого файла загружается основной модуль вредоносного кода, который выполняет функцию ‘точки входа’ в систему и позволяет загрузить дополнительные модули для следующих стадий атаки.

На сегодняшний день мы выявили около 1000 вредоносных файлов, относящихся к 30 различным группам модулей. Все они были созданы в период с 2007 года по начало 2013, а самые свежие датированы 8 января 2013 года.
Сейчас наши антивирусные продукты, включая мобильные под Windows, детектируют файлы этого зловреда сигнатурами как Backdoor.Win32.Sputnik. А эксплойты как Trojan-Dropper.MSWord.Agent.ga, Exploit.MSWord.CVE-2010-3333.bw, Exploit.Win32.CVE-2012-0158.j и Exploit.Java.CVE-2011-3544.l эвристическим способом. Эвристические детектирование – технология, которая дает возможность одной сигнатурой детектировать множество вредоносных файлов, в том числе и ранее неизвестные модификации вредоносного ПО, одновременно позволяя добиться повышения качества детектирования и уменьшения размера антивирусных баз.

Чрезвычайно интересным остается вопрос, детектировался ли этот вредоносный код до октября?

Как показывают данные Kaspersky Security Network (KSN), часть вредоносных файлов Red October уже блокировались нашими продуктами, до октября 2012. Компоненты (dll, exe) блокировались сигнатурами, которые мы наложили на файлы, полученные из наших стандартных источников (KSN, вирусные коллекции, почта и т.д.). Вердикты носили имя, например: Trojan.Win32.Monzat.ac, Trojan.Win32.Genome.afykf, Trojan.Win32.Agent2.fhqq, Net-Worm.Win32.Kolab.baih.

Анализ атаки позволил систематизировать имеющиеся знания, собрать недостающую информацию и объединить существующие и новые экземпляры вредоносных файлов под одним именем: Backdoor.Win32.Sputnik.
Эксплойты, использовавшиеся для заражения, блокировались технологией Automatic Exploit Prevention (АЕР) под именем PDM:Exploit.Win32.Generic, которое является общим для всех типов эксплойтов, если они не специально не выделены нашими аналитиками. Прототип технологии АЕР был реализован в Kaspersky Internet Security 2012 и Kaspersky Endpoint Security 8, а полная версия включена в состав в состав Kaspersky Internet Security 2013 и Kaspersky Endpoint Security 10.
Для того чтобы понять каким образом Automatic Exploit Prevention обнаружил эти угрозы, давайте рассмотрим принцип работы технологии.

Технология Automatic Exploit Prevention

Automatic Exploit Prevention (АЕР) является обширным набором технологий, препятствующих срабатыванию эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.

В основе технологии лежит анализ поведения эксплойтов, а также сведения о приложениях, которые чаще других подвергаются атакам злоумышленников, например Adobe Acrobat, Java, Windows компоненты, Internet Exprorer и другие. За такими программами устанавливается особый контроль — как только одна из них пытается запустить подозрительный программный код, процедура прерывается и начинается проверка.

Рис. 1 Принцип работы технологии Automatic Exploit Prevention

Довольно часто эксплойты перед непосредственным заражением системы осуществляют предварительную загрузку файлов. АЕР отслеживает обращение к программ к сети и анализирует источник файлов. Технология может также различать файлы, созданные при участии пользователя, и новые, неавторизованные. Соответственно, попытка запустить файл, загруженный из подозрительного источника и без ведома пользователя, также будет заблокирована.

Еще один используемый в АЕР метод основан на технологии Address Space Layout Randomization (ASLR). Поддержка подобной технологии встроена в операционную систему Windows (начиная с Vista) и обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование злоумышленниками некоторых уязвимостей. Технология предлагает пользователю функцию Forced Address Space Layout Randomization, которая выполняет те же операции и способна работать в тех случаях, когда аналогичная система в Windows бессильна. В частности, Forced ASLR может работать и в Windows XP.

Поставщиком информации о событиях, происходящих на компьютере пользователя, для АЕР является компонент System Watcher, который входит в состав KAV, KIS, Pure, Endpoint 10. System Watcher в масштабе реального времени анализирует действия всех установленных на компьютере программ и системных сервисов и в случае подозрительной активности блокирует исполнение. Производит он это на основе так называемых BSS-шаблонов (Behavior Stream Signatures) – моделей вредоносного поведения, по которым можно вычислить неизвестный экземпляр вредоносного кода.

Рис. 2 Определение эксплойта технологией Automatic Exploit Prevention

Подход к защите на основе поведенческого анализа является крайне эффективным против часто меняющихся вредоносных программ. Если что-то не могут детектировать статические методы обнаружения или облачные технологии, вредоносное ПО будет определяться технологиями на основе поведенческого анализа, даже если речь идет о неизвестном ранее эксплойте, использующем уязвимость «нулевого дня».

Именно такой подход позволил блокировать эксплойты, которые впоследствии оказались частью атаки Red October.

Технология борьбы с 0-day уязвимостями

Информация о другом громком инциденте, на этот раз связанным с использованием 0-day уязвимости CVE 2013-0422 в 1.7 и 10 версии Java приложения, стала доступна общественности 10 января 2013 года из публикации Disable Java plugin Now. С помощью этой уязвимости злоумышленники могут запустить на атакуемом компьютере произвольный программный код.
Кампания по распространению эксплойта для этой уязвимости имеет огромные масштабы. При нажатии на рекламные баннеры, в многочисленном количестве размещенные в разных странах на легальных сайтах, к примеру, новостных, сайтах погоды или сайтах с контентом для взрослых, посетители попадают на веб-ресурс, содержащий экслоиты одной из самых популярных связок эксплойтов Blackhole, в том числе этот Java 0-day.

Согласно статистике, опубликованной владельцами Blackhole эффективность этого эксплойта более 83%.

Рис. 3 Эффективность эксплойта 0 day Java

Специалисты подразделения по противодействию киберугрозам министерства национальной безопасности США рекомендуют пользователям отключить надстройку Java в веб-браузерах для защиты от атак злоумышленников, которые используют ранее неизвестную уязвимость в программной платформе Java.
Как же обстоят дела с защитой от этого эксплойта? Согласно статистике Kaspersky Security Network, проникновение этого эксплойта на компьютер пользователя блокировалось продуктами Лаборатории Касперского, а именно технологией АЕР, еще до того, как инцидент получил публичную огласку. Блокировка осуществлялась при помощи поведенческого анализа, т.е. проактивно.

Рис. 4 Данные KSN о срабатывании технологии АЕР

Впервые этот эксплойт был опознан технологией АЕР в начале декабря, т.е. пользователи наших продуктов были защищены еще до того, как он стал активно использоваться вирусописателями.

Результаты независимых тестов

Большинство независимых тестовых лабораторий на сегодняшний день проверяют три ключевых параметра антивирусной защиты: качество обнаружения зловредного кода, ложные срабатывания и производительность. Лишь некоторые из них тестируют более специализированные направления, в том числе качество обнаружения эксплойтов.
Один из таких тестов был проведен компанией MRG в 2012 году.

Методология проведения тестирования заключалась в использовании Metasploit Framework и предоставляемого им набора эксплойтов, основанных на уязвимостях, для которых на тот момент отсутствовал патч от официального вендора. Система считалась защищенной, если в процессе запуска эксплойта блокировалась инициализация его полезной нагрузки.

Рис. 5 Результаты тестирования MRG

Результаты теста демонстрируют преимущество продуктов Лаборатории Касперского в качестве защиты от различных типов эксплойтов.

Заключение

На сегодняшний день эксплойты являются наиболее распространенным способом проникновения зловредного кода на компьютер пользователя. Они применяются как в целевых атаках, таких как Red October, так и в массовых заражениях через связки эксплойтов, например Blackhole.

Для надежной защиты пользователя производители продуктов endpoint security должны уделять особое внимание борьбе с этим типом угроз. Традиционных сигнатурных способов недостаточно, поскольку они способны блокировать лишь известные эксплойты. Поэтому наиболее эффективным способом защиты являются технологии, основанные на поведенческом анализе.
У Лаборатории Касперского набор технологий для защиты от эксплойтов называется Automatic Exploit Prevention (АЕР), он реализован в продуктах KAV, KIS, Pure, Endpoint. АЕР блокирует исполнение эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.

Успешное блокирование зловредного кода, использующегося в Red October, эксплойтов Java 0-day, а также результаты независимых тестов, доказывают, что АЕР действительно эффективен в борьбе с неизвестными уязвимостями, в том числе 0-day уязвимостями.

В то же время мы считаем, что не существует одной технологии, способной защитить пользователя от всех типов угроз. А последние проценты в защите даются наиболее тяжело. Поэтому мы, как компания, движимая технологической разработкой, продолжаем биться за последние проценты в защите пользователя и регулярно выпускаем новые технологии, такие как Whitelist, Application Control, Default Deny, Safe Money. Это позволяет продуктам Лаборатории Касперского обеспечивать надежную комплексную защиту от компьютерных угроз, в том числе новых и ранее неизвестных.

Новая эпидемия шифровальщика Petya / NotPetya / ExPetr

Вчера началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.

Есть множество сообщений о том, что от новой заразы пострадало несколько крупных компаний по всему миру, и, похоже, масштабы бедствия будут только расти.

Существовали предположения о том, что это все тот же WannaCry (это не он), а также, что это какая-то вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr.

Эксперты «Лаборатории Касперского» продолжают изучать, что это за новая напасть, и по мере того, как они выясняют подробности, мы будем дополнять этот пост.

Пока мы можем сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт EternalBlue, который был использован для распространения WannaCry. Больше технических деталей в нашем посте на Securelist.

На данный момент продукты «Лаборатории Касперского» детектируют новую заразу со следующими вердиктами:

• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen
• UDS:DangerousObject.Multi.Generic (детект компонентом Kaspersky Security Network)
• PDM:Trojan.Win32.Generic (детект компонентом Мониторинг активности)
• PDM:Exploit.Win32.Generic (детект компонентом Мониторинг активности)

Нашим корпоративным клиентам мы советуем следующее

• Убедитесь, что в нашем продукте включены компоненты Kaspersky Security Network и Мониторинг активности.
• Обновите антивирусные базы вручную.
• Установите все обновления безопасности Windows. В особенности MS17-010, которое латает дыру, используемую эксплойтом EternalBlue.
• В качестве дополнительной меры предосторожности с помощью компонента Контроль активности программ Kaspersky Endpoint Security запретите всем программам доступ к файлу perfc.dat и приложению PSExec (часть Sysinternals Suite).
• В качестве альтернативы для предотвращения запуска PSExec можно использовать компонент Контроль запуска программ Kaspersky Endpoint Security. Однако обязательно используйте Контроль активности программ для запрета доступа к perfc.dat.
• Настройте режим Запрет по умолчанию компонента Контроль активности программ для проактивного противодействия этой и другим угрозам.
• Также для запрета выполнения файла perfc.dat и утилиты можно использовать Windows AppLocker.
• Сделайте резервные копии файлов.

Советы домашним пользователям

Домашних пользователей данная угроза касается в меньшей степени, поскольку злоумышленники концентрируют свое внимание на крупных организациях. Однако защититься также не помешает. Вот, что стоит сделать:

• Сделайте бэкап. Это вообще полезно в наше неспокойное время.
• Если вы пользуетесь одним из наших продуктов, убедитесь, что у вас включены компоненты Kaspersky Security Network и Мониторинг активности.
• Обновите вручную антивирусные базы. Серьезно, не откладывайте — сделайте это прямо сейчас, это не займет много времени.
• Установите все обновления безопасности Windows. В особенности то, которое латает дыру, используемую эксплойтом EternalBlue — как это сделать мы подробно рассказали здесь.

Не платите выкуп

Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, мы не рекомендуем платить выкуп. Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.

Обновлено: Как оказалось, это еще не все. Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы.

Исследователи Лаборатории Касперского проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.

Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет (‘installation key’, который показывает ExPetr — это ничего не значащий набор случайных символов). Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные.