Съдържа ли вирус Справка по чл. 73 от ЗДДФЛ, версия 6.0?

Днес мои клиенти ми звъннаха, че компютърът не им позволявал да си свалят новата версия на една програма от НАП. Когато стигнах на място, установих следното:

1. Въпросната програма е Справка от чл. 73 от ЗДДФЛ, версия 6.0
2. „Не може да бъде свалена“, понеже Windows Defender открива в нея вирус – Trojan:Win32/Azden.A!cl – и я блокира.
3. Сайтът на НАП, към който те се свързват, е истинският. Линкът е http://www.nap.bg/document?id=4311

Липсата на време не ми позволи да седна и да анализирам файловете в пакета ръчно, или дори да ги проверя с друг антивирус. Затова не зная дали реално съдържат вирус, или е фалшив позитив на Windows Defender.

Както едното, така и другото се е случвало преди. Надявам се да е фалшива тревога – поне един друг продукт, Xeoma, бива идентифициран погрешно от WD като този вирус. Ако обаче е реална заплаха, е неприятна. Вирусът е доста „модерен“ – събира и изпраща на стопаните си много подробна информация за компютъра и потребителите му, ъпдейтва се автоматично, сваля от Интернет и инсталира още допълнителни вирусни възможности, и позволява отдалечено командване на компютъра. Затова е разумно в този случай да се заложи на предпазливостта.

Свързах се веднага с НАП и ги предупредих за ситуацията. Единствената реакция (упорито повтаряна всеки път, когато се опитвах да обясня, че е възможно положението да е опасно), беше да им пратя е-майл и принтстрийн на съобщението, което получавам. За всеки случай им пратих описание на проблема – току-виж го прочете и някой, който различава компютър от прахосмукачка.

Моят съвет към всички е – задръжте мъничко с инсталирането на тази версия. Изчакайте, докато се разбере дали наистина съдържа вирус, или е фалшива тревога. НАП вероятно скоро ще обявят нещата и в двата случая – елементарна отговорност е да го направят.

12 Responses to 'Съдържа ли вирус Справка по чл. 73 от ЗДДФЛ, версия 6.0?'

  1. Pesho Says:

    Гачев,

    Майсторката си отиде бре човек. Какъв НАП, какви червеи, какви глупости.

  2. zashto_triesh Says:

    Гачев, какво те притеснява, че триеш коментари???

  3. Gabo Says:

    Visrustotal.com не открива нищо (освен някакво мъгляво предупреждение от Yanhdex)
    https://www.virustotal.com/bg/file/e350391d7a5fb28d4adab7e65938fc0820bf860c113479cc4dfdbff3edec7617/analysis/1516831871/

    По-скоро бозавият Windows Defender се е ошашкал (все пак това е ZIP файл, в който има саморазархивиращ се RAR, лъжливата тревога най-вероятно идва от саморазархивиращата се част на RAR-a), което оневинява донякъде НАП, но не прави живот на клетия техен потребител по-лек 🙂
    (то не бяха смени на подписвания с Електронен подпис уж без Java (ама за ДДС-то си я иска), то не бяха нови версии баш преди отчетни периоди …… но така е, нали и хора като нас хляб трябва да ядат, грижат се техните IT специалисти и за нашето добро)

  4. Благовест Цветанов Says:

    За миналата година ми се наложи да изтегля 6 файла от сайтовете на държавната администрация и всеки път трябваше да изключвам WD, иначе не бих могъл да ги сваля. А колко пъти линковете водят към “липсваща или премахната страница” – не мога да изброя. Изключително неприятна ситуация – дори и в интернет средата администрациите ни са тромави, бавни и остарели… Та в този смисъл не се изненадвам на написаното в статията.

  5. Григор Says:

    @Pesho: Само не бях одобрил коментара – а наистина трябваше да го изтрия. За какво им е на читателите тук словесен шум?

    @Gabo: Много се надявам да е фалшив позитив. Не е първият на WD, включително за този вирус. Но след „украинската история“ съм склонен да заложа на предпазливостта. Особено ако откритият вирус не е нещо древно, което надали има как да възкръсне сега, а нещо напълно актуално. По-добре да изчакам ден-два, за всеки случай.

    @Благовест Цветанов: При подобен фалшив позитив е редно администрацията да предупреди за него по някакъв начин. Най-елементарна отговорност е. Но като видях вчерашната реакция, се чудя дали ще направят и това… Почвам да разбирам как американците подкрепиха измамник като Тръмп срещу едно голо обещание, че ще стегне шапката на бюрокрацията.

  6. Божо Says:

    @zashto_triesh – ако коментарът е от сорта на първия, от Pesho, – баш си е за изтриване.

  7. Петър Петров Says:

    https://www.virustotal.com/#/url/e2e911f2540753f79bc8f5061c684348cf6f9776170f876976350374db1bfab7/detection

  8. Виктор Says:

    Охохооо, НАП значи са си купили rar, може би не знаят за безплатните алтернативи.

  9. Григор Says:

    @Петър Петров: Виждал съм да се предлага в даркнета PHP скрипт, който връща на IP-та от базата му данни безвредно съдържание, а на останалите – овирусеното. Базата данни, ако се вярва на рекламата, се ъпдейтва на всеки час. Подозирам, че всички от списъка на VirusTotal, всички търсачки и вероятно много други са в нея.

    @Виктор: Да си видял безплатна алтернатива, която плаща „комисиони“ (това май се превежда на български като „рушвет“) за купуването ѝ?

  10. Велик Says:

    Благодаря.

  11. Григор Says:

    Ъпдейт в положението:

    Вчера следобяда (17:34) получих отговор на писмото си до Инфоцентъра на НАП. За съжаление смогвам да публикувам релевантната част от него чак сега:

    —-

    инсталационният файл за справка по чл. 73 от ЗДДФЛ, публикуван на сайта на НАП е проверен и не съдържа вируси! При сканиране на файла с антивирусни програми на водещи компанни в бранша не се открива никаква заплаха! Такава се отчита единствено от 2-3 антивирсни програми, сред които и Windows Defender, което се дължи на структурата на инсталационния пакет, а не на наличието на вирус в пакета. Все пак във връзка със случая се работи от страна на НАП и ще бъде скоро направен инсталационен пакет с друга структура, която не предполага отчитането на заплахи от антивирусните софтуери.

    —-

    Иначе казано, тревогата е фалшива. За най-голямо щастие.

    Дано и НАП публикуват информация по въпроса – надали всеки от потребителите им чете блога ми…

  12. теллалов Says:

    Трогателна загриженост за институция, попадаща под Ботевото определение “заговор срещу свободата”.
    Мазохизъм?

Leave a Reply