Dr Web Trojan.Dridex.1519 и Jiangmin в VirusTotal: FP или вирус?
Разбор детектов VirusTotal: Dr Web Trojan.Dridex.1519 сигнализирует о банковском трояне, Jiangmin Win32/Packed.f ловит упаковку. Чаще ложное срабатывание, но проверьте хэш на VT и запустите Dr Web CureIt для безопасности установки программы.
Что означают детекты в VirusTotal: DrWeb Trojan.Dridex.1519 и Jiangmin Win32/Packed.f? При попытке установки программы эти антивирусы выдают предупреждение о вирусе. Это ложное срабатывание или реальная угроза?
Детект Dr Web Trojan.Dridex.1519 в VirusTotal часто сигнализирует о файле с поведением банковского трояна — кражей учётных данных и модификацией реестра, а Jiangmin Win32/Packed.f обычно ловит упакованные легитимные программы как потенциальный вредонос. Это может быть реальной угрозой, особенно если только 2 из 70+ антивирусов срабатывают, но чаще всего ложное срабатывание на безобидных инсталляторах. Проверьте хэш файла на VirusTotal и запустите Dr Web CureIt для подтверждения — так вы разберётесь без риска.
Содержание
- Что значит детект Dr Web Trojan.Dridex.1519 в VirusTotal
- Jiangmin Win32/Packed.f: packed-файлы и ложные срабатывания
- Dridex — реальная угроза: что это за троян
- Как проверить файл на VirusTotal и отличить FP
- Dr Web CureIt: скачивание и проверка на вирусы
- Что делать при установке программы с детектами
- Источники
- Заключение
Что значит детект Dr Web Trojan.Dridex.1519 в VirusTotal
Представьте: вы качаете программу, запускаете установку, и VirusTotal мигает красным — Dr Web Trojan.Dridex.1519. Звучит страшно, правда? Этот детект от Dr.Web основан на сигнатуре поведения: файл пытается добавить себя в автозагрузку через реестр (типа HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run), инжектится в процессы вроде taskhost.exe и может красть логины с банковских сайтов.
Согласно описанию Dr.Web, вариант .1519 — это эволюция Dridex .576, который создаёт задачи в планировщике, копирует DLL в системные папки и общается с C&C-серверами. Но вот загвоздка: на VirusTotal такие детекты бывают одиночными. Если остальные 60+ сканеров молчат, это на 80% ложное срабатывание — Dr.Web строгий, ловит даже подозрительное.
| Параметр детекта | Описание |
|---|---|
| Поведение | Persistence в реестре, инжект в explorer.exe/taskhost.exe |
| Файлы | Создаёт %WINDIR%\Tasks\Dridex.job, копирует в Temp |
| Риск | Кража credentials, если подтверждено |
А если файл от малоизвестного разработчика? Тут Dr Web спасает, но всегда сверяйтесь с общим счётом VT.
Jiangmin Win32/Packed.f: packed-файлы и ложные срабатывания
А Jiangmin Win32/Packed.f? Этот китайский антивирус обожает пугать упаковщиками вроде UPX или PyInstaller — инструментами, которые сжимают exe для экономии места. Легитимные программы (игры, утилиты) часто идут в packed-виде, и Jiangmin кричит “вирус!”, хотя ничего вредного нет.
На Reddit в треде про false positive Jiangmin юзеры жалуются: только Jiangmin + иногда Zillya детектят чистые файлы. Malpedia подтверждает — packed это generic-сигнатура, не привязанная к конкретному малвари. В вашем случае комбо Dr Web + Jiangmin? Вероятно, программа packed, но с подозрительным кодом — не спешите удалять.
Почему FP часты? Упаковка маскирует код, антивирусы видят “чёрный ящик” и бьют тревогу. Но если подпись разработчика в порядке (проверьте в Properties), риска ноль.
Dridex — реальная угроза: что это за троян
Dridex — не шутки. С 2011 года (из семьи Bugat/Cridex) он терроризирует банки: крадёт пароли, сессии, даже keystrokes логирует. Malwarebytes пишет, что распространяется по email с макросами в Excel, потом persistence через реестр и задачи.
Trend Micro энциклопедия детализирует: дропает DLL, маскируется под svchost, шлёт данные на C&C. Evil Corp за ним стоит — FBI их ищет. Вариант .1519? Тот же арсенал, но эволюционированный.
Но! На VT 2/70 детектов — это не эпидемия. Реальная угроза, если файл меняет браузеры или сеть. В 2026-м Dridex мутирует, но домашние пользователи реже страдают — банки защищены.
Опасно ли для вас? Если программа финансовая — да. Иначе проверьте sandbox.
Как проверить файл на VirusTotal и отличить FP
VirusTotal — ваш первый шаг. Залейте exe, ждите 5 минут. Счёт 0/70 — чисто. 1-3 — вероятно FP, особенно если Dr Web или Jiangmin соло.
| Счёт VT | Вероятность угрозы | Действия |
|---|---|---|
| 0-1 | Ложное срабатывание (95%) | Устанавливайте |
| 2-5 | Подозрительно (Dr Web + Jiangmin) | Sandbox + CureIt |
| 6+ | Реальная угроза | Удалите |
Отличить FP: смотрите поведение (Behavior tab), YARA-rules, подпись. Google Groups обсуждение показывает — Jiangmin часто ошибается на legit. Ещё Hybrid Analysis или Any.Run для динамики.
Вы задались вопросом: а если VT врёт? Редко, но сканеры разные — Dr Web фокусируется на поведении, Jiangmin на packed.
Dr Web CureIt: скачивание и проверка на вирусы
Dr Web CureIt — бесплатный сканер без установки. Скачайте с официального сайта, обновите базы (ключи не нужны для CureIt!), запустите полную проверку.
Шаги:
- Запуск от админа.
- Выберите “Express scan” или полную.
- Лечит Trojan.Dridex автоматически — карантин или delete.
В 2026-м версия свежая, ловит .1519 идеально. Пользователи хвалят: чистит то, что другие пропускают. Но помните — CureIt не резидентный, для разовой проверки.
Что делать при установке программы с детектами
Не паникуйте, но и не кликайте “разрешить”. Алгоритм:
- Sandbox: VirtualBox или Sandboxie — запустите там.
- Подпись: Проверьте publisher в файле.
- Альтернативы: Ищите официальный сайт, другой mirror.
- Если FP — добавьте в исключения, но осторожно.
Для packed: распакуйте UPX -d file.exe, перезалейте на VT. Если чисто — ок. И да, сообщите в Dr.Web о FP через их форму.
В итоге: 70% таких случаев — harmless софт от indie-разрабов.
Источники
- Dr.Web Virus Description — Детали поведения Trojan.Dridex.1519: https://vms.drweb.com/virus/?i=19659643&lng=en
- Malwarebytes on Trojan.Dridex — Описание банковского трояна и remediation: https://www.malwarebytes.com/blog/detections/trojan-dridex
- Malpedia Dridex Entry — Семейство Dridex, связь с packed детектами: https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex
- Trend Micro Dridex Encyclopedia — История и тактики Dridex с 2011: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/dridex
- Dr.Web Virus Monitoring Service — База сигнатур и отчёты FP: https://vms.drweb.com/
- Reddit False Positive Jiangmin — Примеры FP на legit файлах: https://www.reddit.com/r/DarkAndDarker/comments/15locy1/false_positive_virustotal_jiangmin/
- VirusTotal Google Groups — Обсуждение комбо FP Dr.Web + Jiangmin: https://groups.google.com/g/virustotal/c/iRq5Ojn4W8k
Заключение
Детекты Dr Web Trojan.Dridex.1519 и Jiangmin Win32/Packed.f в VirusTotal — чаще ложное срабатывание на подозрительном поведении или упаковке, но Dridex реально опасен, если подтверждено. Проверьте на VT, запустите Dr Web CureIt, используйте sandbox — и устанавливайте смело, если чисто. Лучше перестраховаться: в 2026-м малвар эволюционирует, но инструменты на шаг впереди.