İnternette daha önce hiç aratılmamış bir virüs buldum

Dümdüz · 6 Şubat 2021

acv dedi:
Zararlıyı şifreli bir halde RAR'lamak da antivirüsleri aşıyor yalnız Yürütülme esnasında ne yapabildiğine bakmak lazım. Her türlü teknolojiyi aşabilen bir yöntem yoksa bildiğiniz tabii.

FUD açılımı "Fully UnDetectable" hocam, araştırabilirsiniz. Bu işleme "crypt" da diyebiliriz.

Ransomware ve RAT virüs için kullanılıyor daha çok. Bildiğiniz gibi, antivirüs yüklü bilgisayarlarda bile bazı fidye virüsleri çalıştı; çünkü fudlanmıştı (özel şifrelenmişti) ve daha henüz antivirüs veritabanlarında yerini almamıştı.

24099 · 6 Şubat 2021

İmzamdan rapor 1 ve 3 paylaşın. Ek olarak dosyanın VirusTotal linkini de paylaşın.

O tarihler de dosya her ne ise onun yayınlandığı zamanı ifade ediyor, erişim tarihine ve diğer tarihlere dikkat ediniz lütfen.

Dümdüz · 6 Şubat 2021

24099 dedi:
İmzamdan rapor 1 ve 3 paylaşın. Ek olarak dosyanın VirusTotal linkini de paylaşın.

O tarihler de dosya her ne ise onun yayınlandığı zamanı ifade ediyor, erişim tarihine ve diğer tarihlere dikkat ediniz lütfen.

Hocam yanlış anlamayın size karşı bir garezim yok, saygı da duyuyorum hatta seviyorum. Ama ben imzamdan bir konuyu konu söylediğimde "İmzayı referans göstermek yasaktır" diye ceza aldım hep. Sizi birkaç seferdir görüyorum ama.

24099 · 6 Şubat 2021

Dümdüz dedi:
Hocam yanlış anlamayın size karşı bir garezim yok, saygıda duyuyorum hatta seviyorum. Ama ben imzamdan bir konuyu konu söylediğimde "İmzayı referans göstermek yasaktır" diye ceza aldım hep. Sizi bir kaç seferdir görüyorum ama.

Merhaba hocam.

Aslında buradaki olay imzayı referans değil.

Örneğin ben imzama sistem bilgisi yazıp sistemim imzada dersem imzam değiştiğinde konu boş kalır. Ama burada ise imzam değişse bile paylaşılan ilgili raporlar upload edilen siteden silinmediği sürece konuda kalmaya devam edecek. Ben ise raporu bizimle paylaşması için gereken rehberi sadece referans gösteriyorum. Onu da duruma göre istiyoruz zaten, herkese aynı raporu istemiyorum bazen.

Dümdüz · 6 Şubat 2021

24099 dedi:
Merhaba hocam.

Aslında buradaki olay imzayı referans değil.

Örneğin ben imzama sistem bilgisi yazıp sistemim imzada dersem imzam değiştiğinde konu boş kalır. Ama burada ise imzam değişse bile ilgili raporlar upload edilen siteden silinmediği sürece konuda kalmaya devam edecek. Ben sadece rehberi referans gösteriyorum. Onu da duruma göre istiyoruz zaten.

O zaman benim aldığım cezalar hatalı mıydı? Benim aldığım cezalarda virüs şüphesi olan kullanıcılara, yorum olarak imzamdaki "Virüs girdiğini nasıl anlaşılır" konuya bakmalarını istemiştim. Mesela. (Bu yorum sırasında imzamda sadece "Virüs" konusunun linki vardı)

24099 · 6 Şubat 2021

Dümdüz dedi:
O zaman benim aldığım cezalar hatalı mıydı? Benim aldığım cezalarda virüs şüphesi olan kullanıcılara, yorum olarak imzamdaki "Virüs girdiğini nasıl anlaşılır" konuya bakmalarını istemiştim.

Ama sizin imzanız değişirse konu anlamsız hale geliyor hocam. Diyelim iki sene sonra birisi geldi ve konuda cevabınızı gördü fakat imzada ilgili yazı yok. O zaman konu boşa düşecek.

Fakat burada ise ben imzamdan rapor 1 ve 3 dediğimde arkadaş raporu burada paylaşacak. Ben imzamı değiştirsem bile iki sene sonra birisi konuya gelse raporları görebilecek

acv · 6 Şubat 2021

Dümdüz dedi:
FUD açılımı "Fully UnDetectable" hocam, araştırabilirsiniz. Bu işleme "crypt" da diyebiliriz.

Ransomware ve RAT virüs için kullanılıyor daha çok. Bildiğiniz gibi, antivirüs yüklü bilgisayarlarda bile bazı fidye virüsleri çalıştı; çünkü fudlanmıştı (özel şifrelenmişti) ve daha henüz antivirüs veritabanlarında yerini almamıştı.

Hocam, bu bilinmeyen bir şey değil. Cryptlenmiş, packlenmiş bir uygulama da sezgisel tarama ile tespit edilebildiği gibi, bir şekilde emülator ve yürütülme öncesi davranışsal analizden sıyrılsa dahi yürütüldüğü an asıl kodunu açığa çıkaracaktır zaten. Burada olmadı, davranışsal imzalardan tespit edilmesi çok olası. C2C sunucuları antivirüs tarafından engellenirse yine saldırı başarılı bir şekilde gerçekleşmeyecektir. Bir uygulamayı cryptledim oldu bitti değil yani.

Introduction - ClamAV Documentation

An open source malware detection toolkit and antivirus engine.

www.clamav.net

Packed

This is a detection for files that use some kind of runtime packer. A runtime packer can be used to reduce the size of executable files without the need for an external unpacker. While this can‘t be considered malicious in general, runtime packers are widely used with malicious files since they can prevent a already known malware from detection by an Antivirus product.

Kaspersky Threats — Kryptik

threats.kaspersky.com

Threat description search results - Microsoft Security Intelligence

www.microsoft.com

Murat5038 · 6 Şubat 2021

Çift hesabın var mı bilmiyorum benzer bir konuyu yakın zamanda cevaplamıştım. Benzer anlatımlar benzer durum.
Virüs total linki nerede? AV taram sonucu nerede?

Dümdüz · 6 Şubat 2021

acv dedi:
Hocam, bu bilinmeyen bir şey değil. Cryptlenmiş, packlenmiş bir uygulama da sezgisel tarama ile tespit edilebildiği gibi, bir şekilde emülator ve yürütülme öncesi davranışsal analizden sıyrılsa dahi yürütüldüğü an asıl kodunu açığa çıkaracaktır zaten. Burada olmadı, davranışsal imzalardan tespit edilmesi çok olası. C2C sunucuları antivirüs tarafından engellenirse yine saldırı başarılı bir şekilde gerçekleşmeyecektir. Bir uygulamayı cryptledim oldu bitti değil yani.

Introduction - ClamAV Documentation

An open source malware detection toolkit and antivirus engine.

www.clamav.net

Kaspersky Threats — Kryptik

threats.kaspersky.com

Threat description search results - Microsoft Security Intelligence

www.microsoft.com

Hocam keşke 2016-2018 zamanlarında olduğu gibi tamamen FUD'lanmış bir malware elimde olsaydı da size gösterebilseydim

Ama şu an elimde yok.

O zamanlarda Virustotal'de çıkmıyordu. Zamanında dosyaları sandbox ile açıp; davranışlarına göre rapor veren "Anubis Scan" sitesi vardı, efsaneydi; kapatıldı. O sitede bile bir sonuç alınamıyordu. Antivirüsler de keza aynıydı.

O zamandan bu zamana veritabanları çok gelişmiş olabilir ancak hala bunun mümkün olduğunu düşünüyorum.

acv · 6 Şubat 2021

Dümdüz dedi:
O zamanlarda Virustotal'de çıkmıyordu. Zamanında dosyaları sandbox ile açıp; davranışlarına göre rapor veren "Anubis Scan" sitesi vardı, efsaneydi; kapatıldı. O sitede bile bir sonuç alınamıyordu. Antivirüsler de keza aynıydı.

Any.run ve Hybrid Analysis var ücretsiz hizmetler arasında benim bildiğim. En basitinden ATT&CK matrisine bakıp genel bir fikir sahibi olabiliyorsunuz ancak bu yöntemler ile neyin zararlı olup olmadığına karar vermek için bir bilgi birikiminizin olması gerekiyor.

İnternette daha önce hiç aratılmamış bir virüs buldum

Ayrıntılı düzenleme

Dümdüz

Gigapat

24099

Petapat

Dümdüz

Gigapat

24099

Petapat

Dümdüz

Gigapat

24099

Petapat

acv

Gigapat

Introduction - ClamAV Documentation

Kaspersky Threats — Kryptik

Threat description search results - Microsoft Security Intelligence

Murat5038

Yottapat!

Dümdüz

Gigapat

Introduction - ClamAV Documentation

Kaspersky Threats — Kryptik

Threat description search results - Microsoft Security Intelligence

acv

Gigapat

Benzer konular

Technopat Haberler

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz