app.asar diye dosya var zaten gördükten bir süre sonra sıfır tespiti görünce ve bazı detayları görünce Node.js ile kodlanmış bir şeyle paketlendiğini anlamıştım. Benim antivirüste decompiler var bunun için ama diğer antivirüslerde adam akıllı yok diye sıfır tespit oluyor. Virüse benziyor virustotal loglara bakınca, umarım çalıştırmadın.
Kaynak kodunu tek satıra gizlemiş ve tam obfuscate edememiş. Birde Virustotal sonuçları hiç bir şeyi yüzde yüz temsil etmez virüs mü değil mi diye sadece antivirüsleri besler ve bariz virüsleri gösterir, bazen ise bolca yanlış pozitif verir. İnanmayan varsa buna baksın:
https://www.virustotal.com/gui/file...b51b7c56af25c340a59c208b879f3d2e151/community bu mesela virüs ve virustotal Microsoft yapmış sandığı için bütün tespitleri yanlış pozitif demiş.
Yeni bir payload buldum SeaOfLegend\SeaOfLegend\resources\app\node_modules\@xsolla\launcher-core-win\bin tam burada. Bir sürü exe var
https://www.virustotal.com/gui/file...64be2d233323848e0efab4f40bcd1f60c20/relations hmm virüs bu kernel adlı programdan geliyor olabilir.
Birde adam rockit diye isim koymuş driver ismine rootkit mi demeye çalışıyor anlamadım.
Komplo teorisi gibi ama bu
https://www.virustotal.com/gui/file...949764b37ce9512bea1012a8002129f0edb/detection Neden
CVE-2024-35250 bu açıkla ilgili driver yüklenince gelen uyarı.
Tamam driver virüssüz çünkü baya alakasız yerlerde kullanılmış saçma adam kaynak kodunu niye obfuscate etmiş
Cihazda ki bütün bilgileri toplayan kodlar gördüm mesela işletim sistemi, tarayıcısı vb.
Tamam temiz sanırım fakat Xsolla ile ilgili şeyler gördüm ve bu sitenin olası şüpheli geçmişi var.
Discord sunucuları ile ilgili siteleri yani temize benziyor ama ilk bakan kişi için virüs gibi gelebilir.
