Çözüldü ESET Discord klasörünün içinde bir "EXE" dosyasını trojan olarak algıladı

EVANESCENCE · 28 Kasım 2023

Merhaba, bugün ESET Online Scanner ile hızlı tarama yapmıştım.

Yerel Disk C>Kullanıcılar>X>AppData>Roaming>Discord>Crashpad adlı bir yolda bir exe dosyasında trojan buldu. Dosyanın adı "MXWTPTTTYKDUYVXJ_0.exe"

Dosyayı VT'ye attığım zaman dosya adı "AUTOFMT.exe" olarak gözüküyor. Bu bir formatlama dosyası falan değil miydi? İsim olarak tanıdık geldi ancak "Discord" klasörünün içinde bulunması ve BitDefender, Malwarebytes, ESET gibi AV motorları tarafından pozitif sonuç vermesi beni çok şüphelendirdi. Sizin yorumunuz nedir?

VT Sonucu: VirusTotal

@Dutchman @300319 @Murat5038

southwest · 28 Kasım 2023

EVANESCENCE dedi:
Dosyayı VT'ye attığım zaman dosya adı "AUTOFMT.exe" olarak gözüküyor. Bu bir formatlama dosyası falan değil miydi?

Aynı dosyayı Virustotal'e ilk yükleyen kişi dosyayı bu ad ile yüklemiş.

562410 · 28 Kasım 2023

Discord restart attıysa sıkıntılı.

300319 · 28 Kasım 2023

AutoFMT.exe normalde System32 içinde olur.
Öyle bir dosya mevcut değil ilgili dizinde. Zararlı olma ihtimali gayet yüksek.
VirusTotal sonucu da pek iç açıcı değil, Shell komutları çalıştırdığı bir process var.

Discord onu ne için kullanabilir diyeceğim de alakası pek yok gibi Discord ile.
Yüksek ihtimalle aynı adı taklit eden bir zararlı yazılım olabilir.

EVANESCENCE · 28 Kasım 2023

@300319, ben Discord üzerinden çok fazla yabancılarla da konuşmam. Hatta ortak sunucudan gelen direkt mesajları engellemiştim. İlgili dosyaya sağ tıklayıp özellikler dediğimde oluşturulma tarihi "20 Kasım" olarak gözüküyor. Ben değil 8 gün, 2-3 aydır yabancı biriyle konuşmadım. Hatta konuştuğum kişiler de bana değişik dosyalar atmadı ve indirmedim hiçbir şey. Bu nereden gelmiş olabilir, nasıl olabilir bu hiç aklım almıyor. Discord ile alakası ne onu da anlamadım.

.dat uzantılı farklı bir dosyası daha var. Ben aktif olarak uzun zamandır Kaspersky Plus kullanıyorum. Gerçek Zamanlı Dosya Antivirüsünü falan da Güvenlik Düzeyini "Aşırı" moda almıştım. Şimdiye kadar Kaspersky sıkıntılı bir şeyler tespit etmez miydi? Az önce tam tarama yaptım ona da temiz dedi. Şimdi de Malwarebytes ile tam tarama yapacağım. Bu dosyanın Discord ile ne alakası var anlamış değilim. Discord platformu üzerinden bir şey gelmiş olamaz yani, oradan gelen bir resimi bile indirmedim.

Hybrid-Analysis sonuçlarında falan da genelde "Güvenilir AV motorları tarafından zararlı olarak işaretlendi" dışında çok da şüpheli şeyler de görmedim.

@300319,

Bu arada bir şey daha ekleyeyim, ben bilgisayarı düzenli olarak tarayan bir insanım. ESET ile tarama yapmadan önce F-Secure, Hitman.pro+Kaspersky ile tarama yapmıştım. Üçü de bellekte bir sorun bulmamıştı, hatta ESET ile tarama yaptığımda ESET de işletim belleğinde tehdit bulmamıştı. Sonuç olarak 4 AV motoru da bellekte sorun bulmamıştı. Sizce bu dosya zararlı yazılım olsa bile bilgisayarda etkin olarak çalışıyor olabilir miydi? Ayrıca ESET karantinaya aldıktan sonra dosyayı geçici bir incelemek için geri al demiştim. Kaspersky Threat Intelligence Portal sitesine dinamik analiz için atmıştım dosyası. Birkaç dakika "Analyzing" dedikten sonra "No Data Found" hatası verdi

Ayrıca dosyanın simgesi de yoktu, bu acaba bozuk bir dosya mı?

300319 · 28 Kasım 2023

Discord sonradan değişiklik yapmış olabilir. Dat dosyası içinde de ilgili exe dosyası için bilgi tutuyor olabilir. Risk edecek bir şey yapmadıysanız bilgisayarda endişe etmeniz gerekmez.

EVANESCENCE · 28 Kasım 2023

@300319, teşekkür ederim. Ben yine de bazı önemli şifrelerimi değiştirip yoluma devam edeyim o halde

Dutchman · 28 Kasım 2023

İmitasyon, imzası geçersiz, Microsoft imzası orijinal değil. Crashpad kısmında genellikle çökme raporları olur, Discord'un bu aracın orijinalini kullanarak bir crash raporu oluşturup imzasız halini drop etmesi de olası görünmüyor. Discord sistem başlangıcında otomatik açılıyorsa farklı kanallar aracılığıyla dosya indirilmiş olabilir fakat Crashpad içine gitmemesi gerekirdi.

Ciddi bir zararlı değil fakat neden Crashpad konumunda anlayamadım. Hybrid-Analysis ve FileScan.io sonuçları varsa daha net tanımlayabilirim.

EVANESCENCE · 28 Kasım 2023

@Dutchman, başlangıçta Discord açılması ayarını kapatmıştım.

Buyurun sonuçlar;

https://www.hybrid-analysis.com/sample/306f8abe4697d9d3aad316715fe64e69253bdd018d3e563fd3f560f8795f472d/65661b7899e89ad39a09c9b9

Filescan.IO - Next-Gen Malware Analysis Platform

Submit malware for analysis on this next-gen malware assessment platform. Filescan GmbH develops and licenses technology to fight malware with a focus on Indicator-of-Compromise (IOC) extraction at scale.

www.filescan.io

Dutchman · 28 Kasım 2023

Evet, patchlenmiş fugrafa. Yalnız kendi başına bulaştığını düşünmüyorum.
Hangi tarayıcıyı kullanıyorsunuz? Ek bir mail istemcisi bulunuyor mu sistemde?

Bir dropper tarafından bırakıldığını düşünüyorum, any.run üzerinden işlem ağacını izlemek mümkün.

Interactive Online Malware Analysis Sandbox - ANY.RUN

Cloud-based malware analysis service. Take your information security to the next level. Analyze suspicious and malicious activities using our innovative tools.

app.any.run

ESET SysRescue veya Kaspersky Rescue Disk ile tarama yaptınız mı? Bu zararlının tek başına sistemde olduğunu hiç sanmıyorum.

Çözüldü ESET Discord klasörünün içinde bir "EXE" dosyasını trojan olarak algıladı

Ayrıntılı düzenleme

EVANESCENCE

Centipat

Dutchman

southwest

Kilopat

562410

Hectopat

300319

Zettapat

EVANESCENCE

Centipat

300319

Zettapat

EVANESCENCE

Centipat

Dutchman

Terapat

EVANESCENCE

Centipat

Filescan.IO - Next-Gen Malware Analysis Platform

Dutchman

Terapat

Interactive Online Malware Analysis Sandbox - ANY.RUN

Benzer konular

Technopat Haberler

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz