Çözüldü Calypso Çeviri virüslü çeviri paylaşıyor olabilir

Bu konu çözüldü olarak işaretlenmiştir. Çözülmediğini düşünüyorsanız konuyu rapor edebilirsiniz.
Durum
Mesaj gönderimine kapalı.
Elensari

Elensari

Hectopat
Katılım
18 Nisan 2020
Mesajlar
215
Çözümler
1
Calypso Çeviri çok güzel işler başarıyor. Hiçbir karşılık da istemiyor. Lakin ChatGPT gibi bir şey çıkınca artık eskisi gibi cahil kalmadık. Onun yönlendirmesi sayesinde yaklaşık 1-2 saatimi harcadım. Hep bir yanlışlık çıksın dedim ama çıkmadı. İşin uzmanı arkadaşlar yardımcı olursa sevinirim. Haksız çıkmak istiyorum.

Mafia The Old Country Türkçe Yama indireyim dedim.

Ben dosyayı birkaç güvenlik servisine ve Sandbox'a (hybrid analysis gibi) soktum. İlk bakışta “virustotal 1/72” olduğunda bana “tek bir motorun raporu yanlış olabilir” dedirtti ama detaylıca inceledim — ve sonucu beğenmedim.

Kısa özet:

  • VirusTotal: 1/72 motor “malicious” diyor. Tek başına kritik değil, ama...
  • Hybrid analysis: kodu belleğe yükleme (amsı bypass / reflective loading), sanal makine tespiti, process injection, Windows servislerine erişim (mpssvc/Firewall erişimi), registry okuma, şifreleme/obfuscation gibi ciddi kötü niyetli davranışlar raporladı.
  • Dosya imzası var ama geçersiz/ güvenilir değil. Pe zaman damgasında da anormal tarih (2046) gibi tuhaflıklar görüldü.
Bunlar sıradan bir “Türkçe yama” çalışmasından çok farklı. Arka planda madencilik, keylogger veya arka kapı (C2) aktiviteleri olma ihtimali yüksek

Başka yamaları da indirdim. Onlarda da aynı sonucu buldum.

Jurassic World Evolution 3 Türkçe yama V1.exe​


Kısa, net ve şüpheci cevap: evet — bu dosya zararlı.

Bunu niye böyle kesin söylüyorum — kısa gerekçe:

  • Hybrid analysis davranış raporunda bellekten EXE çalıştırma (amsı atlatma / reflective loading) tespit edilmiş — bu, analizden kaçmak ve imzaya/AV’ye takılmadan kod çalıştırmak için kullanılan açıkça kötü niyetli bir taktik. (t1055.001)
  • süreç enjeksiyonu / bellek içi pe başlığı bulundu — başka süreçlere kod enjekte etme, persistence ve Stealth davranışı.
  • VM/Vagrant/VMware tespiti yapıyor — sandbox/analiz ortamlarından kaçma gayreti. (T1497)
  • mpssvc (Windows firewall) erişimi istemiş — güvenlik bileşenleriyle oynama eğilimi, yetki artırma ya da tespit önleme işareti.
  • Invalid/şüpheli imza (imza zinciri güvenilir değil) — “güvenliymiş” izlenimi vermek için imzalanmış ama gerçek bir, güvenilir sertifika sahibi değil. (t1553.002)
  • Rapor ayrıca keylogger/kayıt alma, ağ üzerinden C2 benzeri iletişim, yüksek entropili gömülü payload/şifreleme gibi ciddi göstergeler içeriyor.

Bunların kombinasyonu (amsı bypass + vm evasion + injection + firewall müdahalesi + şifreli/obfuscated gömülü payload + ağ C2 davranışı) normal bir oyun-yama uygulamasında olmaması gereken davranışlardır. Bu yüzden teknik olarak — malicious / kötü amaçlı.

Resident Evil Revelations Türkçe yama V1.exe​

🔍 teknik karşılaştırma​


ilk dosyada da, bu dosyada da:

  1. script loads executable in Memory (antimalware scan ınterface)
    Bu satır, kodun amsı (Windows antimalware scan ınterface) denetimini bilinçli olarak atlatmaya çalıştığını gösterir.
    → Bellekten “exe” yükleme davranışı, zararlı yazılımların klasik taktiğidir.
    → Normal bir oyun yamasının buna asla ihtiyacı olmaz.
  2. signed with an invalid certificate (0x800B0109)
    Aynı hata kodu, aynı tür sahte imza.
    → Bu da dosyanın aynı imzalama aracı ya da aynı fake sertifika ile hazırlanmış olabileceğini gösteriyor.


💡 ne anlama geliyor?​


Bu dosya da aynı imza problemi + aynı AMSI bypass davranışı sergiliyorsa:

  • Çok büyük olasılıkla aynı zararlı altyapının farklı bir “yama” kılıfı.
  • Yani bu “yama yapıyorum” görünümünde dağıtılan yazılım serisi, aslında arka planda benzer kodu çalıştırıyor (belki de tek fark isim ve içerik).


⚠️ sonuç​


Evet, bu da zararlı sınıfına giriyor.
İlk dosya kadar detaylı analiz olmasa bile, aynı iki güçlü “malicious indicator” (amsı bypass + sahte imza) → aynı üretim zincirinden geldiğini gösteriyor.

basitçe:

Bu ikinci dosya da aynı kötü amaçlı altyapıya ait.
Yani “yama adı değişmiş ama zararlı aynı.”
Genişletmek için tıkla...
 
Son düzenleyen: Moderatör:
Çözüm
VolkTyson
Senin amacını anlamıyorum. Diğer forumlara falan da yazıp böyle bir çamur atma derdinde misin anlamıyorum. "lakin ChatGPT gibi bir şey çıkınca artık eskisi gibi cahil kalmadık. Onun yönlendirmesi sayesinde yaklaşık 1-2 saatimi harcadım." şu cümlenden sonra zaten ne dememizi bekliyorsun?

Konuyla ilgili bilgin yok ve ChatGPT sorarak bir yargıya varıp, her yere konu açıyorsun. 5 yıldır yama paylaşıyorum. Herhangi bir sorun olsaydı 5 yıl içinde insanlar bizi topa tutardı. ChatGPT'ye bir yerim ağrıyor dediğinde sana kanser teşhisi koyar. 72/1 uyarı var ve uyarıyı veren yeri tanıyan kaç kişi var gerçekten soru işareti. ChatGPT'nin dosyayı incelemeden sadece oradaki uyarı adından yola çıkarak sorduğun şeye ne kadar düzgün bir tepki vermesini istiyorsun ki?

VirusTotal'e direkt dosyayı atarak taratıyorsun ve orada en bilinen güvenilir güvenlik uygulamaları bile uyarı vermiyorken, açık kaynaklı paylaştığımız yamalarda hala neyin peşindesiniz anlamıyorum. Para almadığımız için, ücretsiz verdiğimiz için mi bu bu durum. Bedava peynir fare kapanında gibi sürekli yorum alıyoruz. Ne yapalım yani illa bizde mi paralı sisteme geçelim. Kazancımız olduğu için bir şey yapmayız güveni verelim. İnsanlar ücretsiz kullansın ve içlerinde şüphe kalmasın diye her şeyi açık kaynak verip, dosyaları bile şifrelemiyoruz. Şifreleme koysak yamalarımızın hiçbiri çalınamaz ama sırf içiniz rahat etsin diye bunun bile riskine giriyorken, bu tarz çıkıp bir şey bilmeden, karalama çalışması yapılması hoş değil.

Merak ettim ve yazının tamamını okudum. Senin çok riskli dediğin uyarıların açıklamasını da yapayım. Öncelikle vm tespiti ve firewall erişimi tamamiyle ChatGPT'nin uydurması, ne raporda öyle bir şey var ne de bizim kodda, dosya imzasının geçersiz olması normal lisansımız olmadığı için dosyaları imzalayamıyoruz. Bunu imzalamadığımız için antivirüs uygulamaları güvensiz uygulama olarak görebiliyor otomatik olarak ve bu lisansın parası da acayip uçuk paralar alınabilecek bir şey değil. "bellekten EXE çalıştırma" dediği olay ya bizim yamanın sonunda varsayılan internet tarayıcısı ile açılan site ve Discord adresimiz ya da yama dosyalarını EXE'ye gömülü kaynak olarak koyup onu kurdurttuğumuz için onu algılıyor ikisinden biri, "yüksek entropili gömülü payload/şifreleme" ise oyundan oyuna değişiyor. Bazen oyunlar oodle sıkıştırması kullanabiliyor, AES şifrelemesi kullanabiliyor, base64 ile şifreli oyunlar var vb vb. Bu tamamıyla yamanın dosyalarıyla alakalı setupla bir alakası yok zaten.
Tarihe göre sırala Puana göre sırala
Lusadris dedi:
ChatGPT'ye Microsoft'un kendi dosyasının sonucunu bile atsanız malware diyebilir. Calypso çeviri Türkçe yama konusunda en güvenilirlerden biridir hocam. Virüs falan yok.
Genişletmek için tıkla...

Ben virüs demedim ki. ChatGPT kendisinin yönlendirdiği sitelerden gittim. Hash dosyasını paylaşabilirim isterseniz. Sizde bir bakabilirsiniz. (Moderator virüslü çevirmiş.)

Edit: Aynı oyunun EXE olmayan sadece pack dosyasını paylaşan birisini buldum. Neden EXE kullanıyorlar ki?
 
Son düzenleyen: Moderatör:
Artı 0 Eksi
Lusadris dedi:
@Elensari, hocam manuel kurulumu herkes beceremeyebiliyor. Kolay kurulum olsun diye EXE tercih edilir genelde. Onun dışında ChatGPT'yi bu tür konularda dikkate almayın.
Genişletmek için tıkla...

Dediğin gibi ChatGPT sonsuz güvenim yok ama bu hybrid-analysis.com sitesinden sürekli kötü uyarı gelince güvenemedim. Manuel kurulum o kadar zor olamaz. Kopyala yapıştır.

Yerayay dedi:
@Elensari ana mesajı okunmadan yazıyorum:
Güvenmiyorsan EXE dosyasını başlatmadan içeriğini çıkar, manuel kurulum yap.
Genişletmek için tıkla...

Onun kolay yolunu söyler misin?
 
Son düzenleyen: Moderatör:
Artı 0 Eksi
Toplamda iki kez kullanmışımdır fakat hiçbir sorunla karşılaşmadım. Her yamada da açık kaynaklı olduğunu ve bilgili kişiler varsa inceleyebileceğini söylüyorlar. Siz de yapay zekayla inceliyorsunuz.
 
Artı 0 Eksi
Senin amacını anlamıyorum. Diğer forumlara falan da yazıp böyle bir çamur atma derdinde misin anlamıyorum. "lakin ChatGPT gibi bir şey çıkınca artık eskisi gibi cahil kalmadık. Onun yönlendirmesi sayesinde yaklaşık 1-2 saatimi harcadım." şu cümlenden sonra zaten ne dememizi bekliyorsun?

Konuyla ilgili bilgin yok ve ChatGPT sorarak bir yargıya varıp, her yere konu açıyorsun. 5 yıldır yama paylaşıyorum. Herhangi bir sorun olsaydı 5 yıl içinde insanlar bizi topa tutardı. ChatGPT'ye bir yerim ağrıyor dediğinde sana kanser teşhisi koyar. 72/1 uyarı var ve uyarıyı veren yeri tanıyan kaç kişi var gerçekten soru işareti. ChatGPT'nin dosyayı incelemeden sadece oradaki uyarı adından yola çıkarak sorduğun şeye ne kadar düzgün bir tepki vermesini istiyorsun ki?

VirusTotal'e direkt dosyayı atarak taratıyorsun ve orada en bilinen güvenilir güvenlik uygulamaları bile uyarı vermiyorken, açık kaynaklı paylaştığımız yamalarda hala neyin peşindesiniz anlamıyorum. Para almadığımız için, ücretsiz verdiğimiz için mi bu bu durum. Bedava peynir fare kapanında gibi sürekli yorum alıyoruz. Ne yapalım yani illa bizde mi paralı sisteme geçelim. Kazancımız olduğu için bir şey yapmayız güveni verelim. İnsanlar ücretsiz kullansın ve içlerinde şüphe kalmasın diye her şeyi açık kaynak verip, dosyaları bile şifrelemiyoruz. Şifreleme koysak yamalarımızın hiçbiri çalınamaz ama sırf içiniz rahat etsin diye bunun bile riskine giriyorken, bu tarz çıkıp bir şey bilmeden, karalama çalışması yapılması hoş değil.

Merak ettim ve yazının tamamını okudum. Senin çok riskli dediğin uyarıların açıklamasını da yapayım. Öncelikle vm tespiti ve firewall erişimi tamamiyle ChatGPT'nin uydurması, ne raporda öyle bir şey var ne de bizim kodda, dosya imzasının geçersiz olması normal lisansımız olmadığı için dosyaları imzalayamıyoruz. Bunu imzalamadığımız için antivirüs uygulamaları güvensiz uygulama olarak görebiliyor otomatik olarak ve bu lisansın parası da acayip uçuk paralar alınabilecek bir şey değil. "bellekten EXE çalıştırma" dediği olay ya bizim yamanın sonunda varsayılan internet tarayıcısı ile açılan site ve Discord adresimiz ya da yama dosyalarını EXE'ye gömülü kaynak olarak koyup onu kurdurttuğumuz için onu algılıyor ikisinden biri, "yüksek entropili gömülü payload/şifreleme" ise oyundan oyuna değişiyor. Bazen oyunlar oodle sıkıştırması kullanabiliyor, AES şifrelemesi kullanabiliyor, base64 ile şifreli oyunlar var vb vb. Bu tamamıyla yamanın dosyalarıyla alakalı setupla bir alakası yok zaten.
 
Son düzenleyen: Moderatör:
Artı 0 Eksi
Çözüm
Durum
Mesaj gönderimine kapalı.

Benzer konular

B
Calypso çeviri güvenilir mi?
Mesaj
5
Görüntüleme
1.817
Yutka46
Yutka46
Prime777
Calypso kalıcı olarak Türkçe yama yapmayı bırakmış olabilir
2
Mesaj
11
Görüntüleme
1.609
Ozzy b
O
Prime777
Calypso, Marvel Spider-Man 2 için Türkçe yama çevirisine başladığını duyurdu
Mesaj
3
Görüntüleme
353
mteisml
mteisml
bekolacim
Calypso yamaları güvenilir mi?
Mesaj
0
Görüntüleme
1.532
bekolacim
bekolacim
ibilaziz19
Makine Çeviri yama yükleyici hatası
Mesaj
1
Görüntüleme
843
455146
4

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı