Hermione Jean Granger

Hermione Jean Granger

Üstün
Güvenlik Duvarı İlk 1.000!
Katılım
20 Aralık 2023
Mesajlar
3.135
Makaleler
5
Çözümler
22
Beğeniler
5.297
Merhaba,
Bu kısa ama öz yazımda size neden VirusTotal rapor sonucuna ve antivirüs tarama sonuçlarına %100 bir şekilde güvenmemeniz gerektiğini anlatacağım. Her zaman yaptığım gibi konuya hızlıca dalalım.

Şimdi, benim bir kuzenim var. Geçenlerde Valorant'tan tanıştığı bir şahıstan link almış ve sözde oyun linki diye biliyormuş. Kendisi de şöyle anlatıyor olayı: "O gün dalgınlığıma geldi, zaten canım sıkılmıştı farklı bir oyun indireyim de oynayayım diye elemanın attığı linkten sözde oyunu indirdim, klasöre çıkarttım ve ".exe" uzantılı dosyayı açtım. Hiçbir şey olmadı, sadece bir CMD ekranı açıldı ve birkaç saniye sonra geri kapandı. Herhalde bozuk bu deyip geri sildim. Birkaç saat sonra fark ettim ki Valorant hesabım başta olmak üzere bilgisayarımda kayıtlı birkaç hesabım çalınmış. Bu linki bana atan kişi de beni engellemiş."

Ne kadar ibretlik bir olay değil mi? Şimdi kuzenimin bilgilerinin çalınmasına sebep olan o ".exe" uzantılı dosyayı VirusTotal'a atalım bakalım.


Aa, o da ne? Antivirüs motorlarının hiçbirisi tespit edememiş. Tek bir tespit dahi yok!

1768585954244.webp



Neden? Çünkü bu zararlıyı yazan kişiler, antivirüs motorlarının gözünden kaçacak şekilde tasarladı. :) Şimdi aynı dosyayı Hybrid-Analysis'e upload edip Falcon-Sandbox raporu oluşturalım bakalım.


1768586015789.webp


Gördüğünüz gibi, "Info Stealer" olarak algıladı. Gerçekten de öyle, kuzenimin hesaplarının çalınmasına sebep olan o zararlı dosya bu. Bilgisi olup daha detaylı incelemek isteyenler için aşağıya Hybrid-Analysis rapor sonucunu da bırakıyorum.



İşte bu yüzden, siber güvenlikte her şeyden önce sizin bilinçli bir tüketici olmanız gerekmektedir. "Antivirüsü kurdum arkada beni koruyor zaten benim artık kafam rahat" dememelisiniz. Gördüğünüz gibi, özel şekilde tasarlanan zararlılar o kaliteli antivirüsler dahil hepsinin gözünden böyle kaçıyor işte. Tongaya gelmeyin, kuzenimin yaşadığı gibi numaralara kanmayın; bilinçli olun!


Hiçbir zaman böyle şeylere maruz kalmamanız dileğiyle, güvenli günler dilerim...
 
Hermione Jean Granger dedi:
Merhaba,
Bu kısa ama öz yazımda size neden VirusTotal rapor sonucuna ve antivirüs tarama sonuçlarına %100 bir şekilde güvenmemeniz gerektiğini anlatacağım. Her zaman yaptığım gibi konuya hızlıca dalalım.

Şimdi, benim bir kuzenim var. Geçenlerde Valorant'tan tanıştığı bir şahıstan link almış ve sözde oyun linki diye biliyormuş. Kendisi de şöyle anlatıyor olayı: "o gün dalgınlığıma geldi, zaten canım sıkılmıştı farklı bir oyun indireyim de oynayayım diye elemanın attığı linkten sözde oyunu indirdim, klasöre çıkarttım ve ".exe" uzantılı dosyayı açtım. Hiçbir şey olmadı, sadece bir CMD ekranı açıldı ve birkaç saniye sonra geri kapandı. Herhalde bozuk bu deyip geri sildim. Birkaç saat sonra fark ettim ki Valorant hesabım başta olmak üzere bilgisayarımda kayıtlı birkaç hesabım çalınmış. Bu linki bana atan kişi de beni engellemiş."

Ne kadar ibretlik bir olay değil mi? Şimdi kuzenimin bilgilerinin çalınmasına sebep olan o ".exe" uzantılı dosyayı VirusTotal'a atalım bakalım.


AA, o da ne? Antivirüs motorlarının hiçbirisi tespit edememiş. Tek bir tespit dahi yok!

Eki Görüntüle 218789

Neden? Çünkü bu zararlıyı yazan kişiler, antivirüs motorlarının gözünden kaçacak şekilde tasarladı. :) şimdi aynı dosyayı hybrid-analysis'e upload edip Falcon-sandbox raporu oluşturalım bakalım.

Eki Görüntüle 218790

Gördüğünüz gibi, "ınfo stealer" olarak algıladı. Gerçekten de öyle, kuzenimin hesaplarının çalınmasına sebep olan o zararlı dosya bu. Bilgisi olup daha detaylı incelemek isteyenler için aşağıya hybrid-analysis rapor sonucunu da bırakıyorum.


İşte bu yüzden, siber güvenlikte her şeyden önce sizin bilinçli bir tüketici olmanız gerekmektedir. "antivirüsü kurdum arkada beni koruyor zaten benim artık kafam rahat" dememelisiniz. Gördüğünüz gibi, özel şekilde tasarlanan zararlılar o kaliteli antivirüsler dahil hepsinin gözünden böyle kaçıyor işte. Tongaya gelmeyin, kuzenimin yaşadığı gibi numaralara kanmayın; bilinçli olun!

Hiçbir zaman böyle şeylere maruz kalmamanız dileğiyle, güvenli günler dilerim...
Genişletmek için tıkla...
Küçültmek için tıkla...

Hybrid daha mı iyi yani?
 
27294 dedi:
Asla o saçmalığa inanmadım, hatta tek örnek bu değil en az 5 - 6 tane zararlı bilirim bu Vt'lerden kaçabilen. Güzel bir yazı olmuş, birilerine ders olur umarım.
Genişletmek için tıkla...
Küçültmek için tıkla...

Zararlıya gerek yok bu arada. Kendi bilgisayarınızda bir metin dosyası oluşturup, sağ tıklayıp arşive ekle dedikten sonra SFX seçeneğini seçip onu VirusTotal'e atarsanız en az 5 virüs veriyor.
 
@deniz745, burada anlatmaya çalıştığım asıl şey "VirusTotal çöp, Hybrid-Analysis sitesi daha iyi" olayı değil. İkisinin olayı biraz farklı. Hybrid-Analysis yürütülebilir dosyaları sadece basit antivirüs motoru taramaları dışında çok daha ayrıntılı ve detaylı bir şekilde test edebilmenizi sağlıyor. Dosyanın davranışlarını izliyor ve neler yaptığını size söylüyor Falcon-Sandbox raporunda.

Bu sebeple "VirusTotal sonucu güvenilir mi?" konularında genelde "Hybrid-Analysis, FileScan.io gibi sitelerin raporunu atarsanız dosya hakkında daha net bir yorum yaparım" diyorum.

deniz745 dedi:
Zararlıya gerek yok bu arada. Kendi bilgisayarınızda bir metin dosyası oluşturup, sağ tıklayıp arşive ekle dedikten sonra SFX seçeneğini seçip onu VirusTotal'e atarsanız en az 5 virüs veriyor.
Genişletmek için tıkla...
Küçültmek için tıkla...
Dediğiniz şey konudan bağımsız bir durum. Bazı dengesiz antivirüs motorlarının verdiği false-positive o.
 
Hermione Jean Granger dedi:
@deniz745, burada anlatmaya çalıştığım asıl şey "VirusTotal çöp, hybrid-analysis sitesi daha iyi" olayı değil. İkisinin olayı biraz farklı. Hybrid-analysis yürütülebilir dosyaları sadece basit antivirüs motoru taramaları dışında çok daha ayrıntılı ve detaylı bir şekilde test edebilmenizi sağlıyor. Dosyanın davranışlarını izliyor ve neler yaptığını size söylüyor Falcon-sandbox raporunda.

Bu sebeple "VirusTotal sonucu güvenilir mi?" konularında genelde "hybrid-analysis, filescan. IO gibi sitelerin raporunu atarsanız dosya hakkında daha net bir yorum yaparım" diyorum.

Dediğiniz şey konudan bağımsız bir durum. Bazı dengesiz antivirüs motorlarının verdiği false-positive o.
Genişletmek için tıkla...
Küçültmek için tıkla...

İşte vermemesi lazım. Trojan yazıyor orada :D güvenilir bir site değil onu söylüyorum.
 
@deniz745, VirusTotal güvenilir değil demek değil bu. VirusTotal kendisi "Virüslü" ya da "Temiz" demez size. "Detections" sekmesinde size 60 küsür farklı antivirüs motorunun tarama sonucunu iletiyor. Orada o sonuçları VirusTotal vermiyor, AV motoru veriyor. VirusTotal sadece birden fazla AV motoruyla tek seferde bir tarama raporu oluşturmanızı sağlayan bir site.

Dediğim gibi, o olaya false-positive deniyor. Tamamen AV motorlarının yanlışı. VirusTotal ile bir ilgisi yok.
 
Bu tarz siteler elindeki verilere göre çalışır. Her zaman, bir şeyin temiz veya virüslü olduğunu isabetli söyleyemezler. Maalesef bize ait olan test.teteos.net adresini de taratırsanız, False-Positive durum olan 8 kötü sonuç göreceksiniz. 8 kötü sonuca neden olan güvenlik firmalarıyla da tek tek iletişime geçeceğim. 🤦 Ancak genelde bir dosyayı antivirüs kurmadan taratmak için kullanmakda faydalı bir site. Tabii yine False-Positive olasılığı var. 😃
 
@Hasan Merkit, aslında benim genel olarak laf attığım şey VirusTotal sitesinin kendisi değil, Antivirüs motorlarının tarama sonuçlarına mutlak bir şekilde güvenmememiz gerektiği.

Mesela siz de temiz olan sitenizde false-positive sorunu yaşamışsınız. Anlatmaya çalıştığım da bu. Antivirüs motorları kusursuz değil. Yeri geliyor false-positive sonuç veriyor, yeri geliyor false-negative sonuç veriyor benim konuda örnek verdiğim gibi.

Yoksa VirusTotal yararlı bir site evet, ama ne yaptığını bilen bir kullanıcı için yararlı.
 
Hermione Jean Granger dedi:
@Hasan Merkit, aslında benim genel olarak laf attığım şey VirusTotal sitesinin kendisi değil, Antivirüs motorlarının tarama sonuçlarına mutlak bir şekilde güvenmememiz gerektiği.

Mesela siz de temiz olan sitenizde false-positive sorunu yaşamışsınız. Anlatmaya çalıştığım da bu. Antivirüs motorları kusursuz değil. Yeri geliyor false-positive sonuç veriyor, yeri geliyor false-negative sonuç veriyor benim konuda örnek verdiğim gibi.

Yoksa VirusTotal yararlı bir site evet, ama ne yaptığını bilen bir kullanıcı için yararlı.
Genişletmek için tıkla...
Küçültmek için tıkla...
Windows Defender, Visual Studio ile yazdığımız sıfırdan ve temiz amaçlı C# programa Rootkit demesi geldi aklıma şimdi. 😃 Zaten antivirüslere yüzde yüz güvenilmez. ✅
 

Benzer konular

Kriyus
VirusTotal sonucu nasıl?
2
Mesaj
10
Görüntüleme
203
NqrkOz
NqrkOz
Ahmet Kerem Yücel
  • Soru Soru
VirusTotal sonucu false-positive mi?
2
Mesaj
14
Görüntüleme
314
Hydra
Hydra
D4C
VirusTotal sonucu nasıl?
Mesaj
9
Görüntüleme
175
Hydra
Hydra
F
PES 2017 setup dosyasının VirusTotal sonucu nasıl?
Mesaj
9
Görüntüleme
211
Hydra
Hydra

Yeni konular

Yeni mesajlar