我已经使用 ExpressVPN 一段时间了。今天当我尝试将其更新到最新版本(10.36.0.4)时,卡巴斯基检测到了以下木马:
HEUR:特洛伊木马.Win64.Reincarnation.gen
卡巴斯基的报告没有说太多,而且我在网上找不到任何有用的信息。
Component: File Anti-Virus
Result description: Detected
Type: Trojan
Precision: Partially
Threat level: High
Object type: File
Object name: nssm.exe
Object path: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\ExpressVPN\SetupTools
以下是下载源:https://www.expressvpn.com/clients/windows/expressvpn_windows_10.36.0.4_release.exe
使用卡巴斯基扫描安装程序文件,病毒总数、hybrid-analysis.com 和 Intezer 没有发现任何内容。
该木马只能在安装过程中检测到,卡巴斯基会导致该过程被取消。
我已经在没有卡巴斯基或其他防病毒系统的系统上安装了此版本。我应该担心吗?我如何知道另一台没有防病毒软件的 PC 是否被感染?
答案1
ExpressVPN 在其 Twitter 页面上对此发表了以下评论 今天有人问我们有关 NSSM (又名 nssm.exe)的问题,它是什么以及我们如何使用它:
ExpressVPN 使用 NSSM 来帮助确保如果运行 VPN 连接的服务出现问题,它会立即重新启动,以便您保持受保护。它不会执行任何其他操作。
他们还说:
NSSM 是一个组件,用于监控正在运行的服务,并在服务因任何原因停止运行时重新启动它们。其代码库是开源的(https://git.nssm.cc/nssm/nssm),使任何人都能确保它不会做任何意外的事情。
NSSM 的使用是经过精心设计的。这是开源软件,而不是恶意软件。
这是卡巴斯基的误报。只要卡巴斯基支持不纠正此问题,您可能就无法安装 ExpressVPN。
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\ExpressVPN\
如果您希望重新启用卡巴斯基运行时保护,您可以在您的计算机上为卡巴斯基添加该文件夹和 NSSM 安装文件夹的例外 。