Днес мои клиенти ми звъннаха, че компютърът не им позволявал да си свалят новата версия на една програма от НАП. Когато стигнах на място, установих следното:
1. Въпросната програма е Справка от чл. 73 от ЗДДФЛ, версия 6.0
2. „Не може да бъде свалена“, понеже Windows Defender открива в нея вирус – Trojan:Win32/Azden.A!cl – и я блокира.
3. Сайтът на НАП, към който те се свързват, е истинският. Линкът е http://www.nap.bg/document?id=4311
Липсата на време не ми позволи да седна и да анализирам файловете в пакета ръчно, или дори да ги проверя с друг антивирус. Затова не зная дали реално съдържат вирус, или е фалшив позитив на Windows Defender.
Както едното, така и другото се е случвало преди. Надявам се да е фалшива тревога – поне един друг продукт, Xeoma, бива идентифициран погрешно от WD като този вирус. Ако обаче е реална заплаха, е неприятна. Вирусът е доста „модерен“ – събира и изпраща на стопаните си много подробна информация за компютъра и потребителите му, ъпдейтва се автоматично, сваля от Интернет и инсталира още допълнителни вирусни възможности, и позволява отдалечено командване на компютъра. Затова е разумно в този случай да се заложи на предпазливостта.
Свързах се веднага с НАП и ги предупредих за ситуацията. Единствената реакция (упорито повтаряна всеки път, когато се опитвах да обясня, че е възможно положението да е опасно), беше да им пратя е-майл и принтстрийн на съобщението, което получавам. За всеки случай им пратих описание на проблема – току-виж го прочете и някой, който различава компютър от прахосмукачка.
Моят съвет към всички е – задръжте мъничко с инсталирането на тази версия. Изчакайте, докато се разбере дали наистина съдържа вирус, или е фалшива тревога. НАП вероятно скоро ще обявят нещата и в двата случая – елементарна отговорност е да го направят.
Гачев,
Майсторката си отиде бре човек. Какъв НАП, какви червеи, какви глупости.
Гачев, какво те притеснява, че триеш коментари???
Visrustotal.com не открива нищо (освен някакво мъгляво предупреждение от Yanhdex)
https://www.virustotal.com/bg/file/e350391d7a5fb28d4adab7e65938fc0820bf860c113479cc4dfdbff3edec7617/analysis/1516831871/
По-скоро бозавият Windows Defender се е ошашкал (все пак това е ZIP файл, в който има саморазархивиращ се RAR, лъжливата тревога най-вероятно идва от саморазархивиращата се част на RAR-a), което оневинява донякъде НАП, но не прави живот на клетия техен потребител по-лек 🙂
(то не бяха смени на подписвания с Електронен подпис уж без Java (ама за ДДС-то си я иска), то не бяха нови версии баш преди отчетни периоди …… но така е, нали и хора като нас хляб трябва да ядат, грижат се техните IT специалисти и за нашето добро)
За миналата година ми се наложи да изтегля 6 файла от сайтовете на държавната администрация и всеки път трябваше да изключвам WD, иначе не бих могъл да ги сваля. А колко пъти линковете водят към “липсваща или премахната страница” – не мога да изброя. Изключително неприятна ситуация – дори и в интернет средата администрациите ни са тромави, бавни и остарели… Та в този смисъл не се изненадвам на написаното в статията.
@Pesho: Само не бях одобрил коментара – а наистина трябваше да го изтрия. За какво им е на читателите тук словесен шум?
@Gabo: Много се надявам да е фалшив позитив. Не е първият на WD, включително за този вирус. Но след „украинската история“ съм склонен да заложа на предпазливостта. Особено ако откритият вирус не е нещо древно, което надали има как да възкръсне сега, а нещо напълно актуално. По-добре да изчакам ден-два, за всеки случай.
@Благовест Цветанов: При подобен фалшив позитив е редно администрацията да предупреди за него по някакъв начин. Най-елементарна отговорност е. Но като видях вчерашната реакция, се чудя дали ще направят и това… Почвам да разбирам как американците подкрепиха измамник като Тръмп срещу едно голо обещание, че ще стегне шапката на бюрокрацията.
@zashto_triesh – ако коментарът е от сорта на първия, от Pesho, – баш си е за изтриване.
https://www.virustotal.com/#/url/e2e911f2540753f79bc8f5061c684348cf6f9776170f876976350374db1bfab7/detection
Охохооо, НАП значи са си купили rar, може би не знаят за безплатните алтернативи.
@Петър Петров: Виждал съм да се предлага в даркнета PHP скрипт, който връща на IP-та от базата му данни безвредно съдържание, а на останалите – овирусеното. Базата данни, ако се вярва на рекламата, се ъпдейтва на всеки час. Подозирам, че всички от списъка на VirusTotal, всички търсачки и вероятно много други са в нея.
@Виктор: Да си видял безплатна алтернатива, която плаща „комисиони“ (това май се превежда на български като „рушвет“) за купуването ѝ?
Благодаря.
Ъпдейт в положението:
Вчера следобяда (17:34) получих отговор на писмото си до Инфоцентъра на НАП. За съжаление смогвам да публикувам релевантната част от него чак сега:
—-
инсталационният файл за справка по чл. 73 от ЗДДФЛ, публикуван на сайта на НАП е проверен и не съдържа вируси! При сканиране на файла с антивирусни програми на водещи компанни в бранша не се открива никаква заплаха! Такава се отчита единствено от 2-3 антивирсни програми, сред които и Windows Defender, което се дължи на структурата на инсталационния пакет, а не на наличието на вирус в пакета. Все пак във връзка със случая се работи от страна на НАП и ще бъде скоро направен инсталационен пакет с друга структура, която не предполага отчитането на заплахи от антивирусните софтуери.
—-
Иначе казано, тревогата е фалшива. За най-голямо щастие.
Дано и НАП публикуват информация по въпроса – надали всеки от потребителите им чете блога ми…
Трогателна загриженост за институция, попадаща под Ботевото определение “заговор срещу свободата”.
Мазохизъм?