Daffy Duck
Üstün
Sorun bitmiyorrr
Yetkin
- Katılım
- 2 Şubat 2024
- Mesajlar
- 284
- Çözümler
- 1
- Beğeniler
- 238
Dosyayı imha et.
DogancanYr
Başarılı
- Katılım
- 18 Aralık 2024
- Mesajlar
- 1.127
- Çözümler
- 8
- Beğeniler
- 468
Sanal makinede açıp keyi al ve sonra uygulamaya kopyala diyecektim ama bunun içinde virüs var.
Mazallah sanal makineden bile dışarı çıkabilir.
Mazallah sanal makineden bile dışarı çıkabilir.
Archeva666
Çalışkan
- Katılım
- 6 Temmuz 2025
- Mesajlar
- 9
- Beğeniler
- 10
.NET ile yazılmış key oluşturma yazılımına benziyor. Keygen olduğu için virüs bulması normal. Sonuçta patch/crack işlemi yapıyorsun. Dosyaya trojan/backdoor gömülü olabilir. Risk almana değmez sil gitsin. Telemetri, güncelleme veya log gönderimi yapıyor gibi görünüyor. (sfd-production.azurefd.net)
KS
KS
Daffy Duck
Üstün
Direkt sildim dosyayı teşekkürler.
Hydra
Yetkin
- Katılım
- 5 Şubat 2024
- Mesajlar
- 548
- Makaleler
- 1
- Çözümler
- 3
- Beğeniler
- 212
ConfuserEx çözebiliyorum eğer .exe'yi filescan.io gibi siteye atsaydın çözerdim.
Tamamdır 2.4 versiyonu elime geçti.
Çözdüm. Şimdi kaynak koduna bakıyorum.
LZMA kodunu entegre etmiş ve statik analiz olmadan çözmeye çalışıyorum. LZMA kodunda yürütülen bir şey var (İngilizcesi payload).
Tamamdır 2.4 versiyonu elime geçti.
Çözdüm. Şimdi kaynak koduna bakıyorum.
LZMA kodunu entegre etmiş ve statik analiz olmadan çözmeye çalışıyorum. LZMA kodunda yürütülen bir şey var (İngilizcesi payload).
Son düzenleme:
KS
KS
Daffy Duck
Üstün
Yani tehlikeli mi hocam?
Hydra
Yetkin
- Katılım
- 5 Şubat 2024
- Mesajlar
- 548
- Makaleler
- 1
- Çözümler
- 3
- Beğeniler
- 212
Kolaya kaçıp C# kodunu değiştirip 3. aşamaya geçtim. Programı çalıştırmadım hiç. Kaynak kodunda başka bir .exe dosyası var tahmin ettiğim gibi.
https://www.virustotal.com/gui/file/e7a58ad777d24c4e5ff00e8de78ee92050c2a535dbce2a8cfe1792221187a69e Bu çıktı.
4. Aşamadayım: https://www.virustotal.com/gui/file/4a780dee5000ffab25981c62fde5949d93adac3f2d68b4b7406bc6fd22a3b844 Tespit oranı düştü ama şüphelerim artıyor, adam bu kadar önemli ne gizlemiş olabilir ki?
Tamamdır kaynak koduna ulaştım.
Virüssüz bir keygen çıktı fakat birkaç yabancı salak virüs analizci buna hala virüs diyeceğine eminim. O yüzden github'da yayınlıyorum.
Kaspersky normalde farklı tepki vermesi lazım ama insan analizi olmadığı için böyle oluyor. Bu da tek benim antivirüsümün veya benim çözebileceğim iş oluyor yani Virustotal'de ki sonuçlara güvenim gene azaldı.
Kısacası kesinlikle tehlikeli değil ve tehlikeli olsa dahi çok eski bir program.
Son düzenleme:
Hydra
Yetkin
- Katılım
- 5 Şubat 2024
- Mesajlar
- 548
- Makaleler
- 1
- Çözümler
- 3
- Beğeniler
- 212
Not: Benim baktığım örnekte zararsızdı ama senin örnek zararlı olabilir çünkü elimde yok ve ikincisi bunun muhtemelen zararlı olan versiyonu mevcut veya bu tarihi rekor https://www.virustotal.com/gui/file/6989f0554ed22bf7b3ecd75e5a9cc7e1b59ed02f80fc69c89b5f7e990f228035
Hayda keygen başkası tarafından virüse dönüştürülmüş senin versiyonun muhtemelen temiz ama yanlış kaynaktan indirirsen bunun gibi virüs. https://www.virustotal.com/gui/file/20af03add533a6870d524a7c4753b42bfceb56cddd46016c051e23581ba743f8
Oha.
Virüs sahibi herhalde tek bu yolla yapmamıştır yoksa öbür türlü 1 milyon olması imkansız bir sürü şeye virüs koymuştur yeniden paketleyip. Not: Ana dosya virüssüz ama yeniden paketlenmiş hali virüslü.
Teorim doğru çıktı.
Şimdi hikayenin son kısmına gelelim. Sahte svchost.exe'nin içinde ne var?
İlk olarak açık kaynak antivirüs ClamAV neden virüs diyor ona bakarak başladım.
Bu imzayı yazan kişinin de ayrı bir hikayesi olmalı ki bu virüslerde ortak yön bulup bunu yazmış olmalı.
Dosyanın giriş kısmını tespit ediyor bu kod. Diğer antivirüsler kapalı kaynak diye neden virüs dediği bilmiyoruz ve bu bilgiyle devam ediyoruz.
Çok basit düzeyde kod karıştırma var kodda mesela Power Manager rastgele gözüken ama anlamlı karakterlerden oluşuyor. Kendini servis olarak atıyor şimdi kaynak kodunu çıkartıyorum.
Kaynak kodunu çıkardım. Windows XP'de keyfi olarak çalıştıracağım.
Gizli dragon virüsü diyor kendisine. Kesinlikle keyfi bir virüs.
Hayda keygen başkası tarafından virüse dönüştürülmüş senin versiyonun muhtemelen temiz ama yanlış kaynaktan indirirsen bunun gibi virüs. https://www.virustotal.com/gui/file/20af03add533a6870d524a7c4753b42bfceb56cddd46016c051e23581ba743f8
Oha.
Virüs sahibi herhalde tek bu yolla yapmamıştır yoksa öbür türlü 1 milyon olması imkansız bir sürü şeye virüs koymuştur yeniden paketleyip. Not: Ana dosya virüssüz ama yeniden paketlenmiş hali virüslü.
Teorim doğru çıktı.
Şimdi hikayenin son kısmına gelelim. Sahte svchost.exe'nin içinde ne var?
İlk olarak açık kaynak antivirüs ClamAV neden virüs diyor ona bakarak başladım.
Kod:
Win.Trojan.Jeefo-3:1:EP+0:5589e583ec0883c4f46a02a1c8b24000ffd0e879ffffffc9c3000000
Kod:
55 push ebp ; EBP’yi kaydet (stack frame oluşturmak için)
89 E5 mov ebp, esp ; EBP’yi ESP’ye ayarla (stack frame başlat)
83 EC 08 sub esp, 8 ; Stack’ten 8 byte ayır
83 C4 F4 add esp, -0xC ; Stack’i düzenle (compiler optimizasyonu)
6A 02 push 2 ; Fonksiyon çağrısı için parametre olarak 2’yi stack’e koy
A1 C8 B2 40 00 mov eax, [0x40B2C8] ; 0x40B2C8 adresinden değeri EAX’e yükle (muhtemelen import table)
FF D0 call eax ; EAX’in gösterdiği fonksiyonu çağır (API çağrısı olabilir)
E8 79 FF FF FF call 0xFFFFFF80 + next ; Göreli çağrı, trojan’ın ana işlevine geçiş
C9 leave ; Stack frame’i geri al (mov esp, ebp; pop ebp)
C3 ret ; Fonksiyondan çık
00 00 00 00 add [eax], al ; Padding / signature alignment, gerçek işlem yapmazDosyanın giriş kısmını tespit ediyor bu kod. Diğer antivirüsler kapalı kaynak diye neden virüs dediği bilmiyoruz ve bu bilgiyle devam ediyoruz.
Çok basit düzeyde kod karıştırma var kodda mesela Power Manager rastgele gözüken ama anlamlı karakterlerden oluşuyor. Kendini servis olarak atıyor şimdi kaynak kodunu çıkartıyorum.
Kaynak kodunu çıkardım. Windows XP'de keyfi olarak çalıştıracağım.
Gizli dragon virüsü diyor kendisine. Kesinlikle keyfi bir virüs.
Son düzenleme:
Benzer konular
Yeni konular
-
-
-
-
Scott Pilgrim vs. the World: The Game: Complete Edition - Türkçe Yama- RewAdIs Çeviri
- Mesaj: 2
-
-
-
