FIFA Editor Tool Virüslü mü?

430518 · 5 Ekim 2023

Adrastos dedi:
UDS öneki vardı Kaspersky'ın tespitinde. Bu da dosyanın zararlı olmasını minimuma indiren bir şey diye biliyorum. Son tarama 15 gün önce gösteriyordu, reanalyze yaptım. UDS öneki silinmemiş, eğer silinseydi dosyanın zararlı olma ihtimali yüksek diyebilirdim.

İncelediğimde bana göre false-positive gibi duruyor. Ama net olarak da temiz diyemem trojan dendiği için biraz irdelenmesi gerekiyor. Bu tarz toollar virüs olarak algılanabiliyor genelde.

Daha bilgili olan @Nizel G hocamıza soralım.

Teşekkür ederim hocam. @Nizel G hocamın da yazmasını bekleyeceğim.

Nizel G · 5 Ekim 2023

Adrastos dedi:
UDS öneki vardı Kaspersky'ın tespitinde. Bu da dosyanın zararlı olmasını minimuma indiren bir şey diye biliyorum. Son tarama 15 gün önce gösteriyordu, reanalyze yaptım. UDS öneki silinmemiş, eğer silinseydi dosyanın zararlı olma ihtimali yüksek diyebilirdim.

İncelediğimde bana göre false-positive gibi duruyor. Ama net olarak da temiz diyemem trojan dendiği için biraz irdelenmesi gerekiyor. Bu tarz toollar virüs olarak algılanabiliyor genelde.

Daha bilgili olan @Nizel G hocamıza soralım.

Behavior testleri boş. DLL'lerin dış bağlantısı yok. İşlem ve servis eylemleri normalden daha temiz gözüküyor.

Benim gözümde şüpheli bir dosya. Sanırım gizlenmeye çalışıyor. Elle incelenecek bir kısmı yok.

Antivirüs yazılımlarının kararına güvenmeyi tercih ediyorum. Sonuçta programın eylemi bir yana koduna göre de karar veriyorlar.

2023 DLL için tespit:

2022 DLL için tespit:

Tespitler bildiğim şeyler değil. Antivirüsler de kendinden emin değil.

@Dutchman bir de siz bakabilir misiniz?

Adrastos · 5 Ekim 2023

Nizel G dedi:
Behavior testleri boş. DLL'lerin dış bağlantısı yok. İşlem ve servis eylemleri normalden daha temiz gözüküyor.

Benim gözümde şüpheli bir dosya. Sanırım gizlenmeye çalışıyor. Elle incelenecek bir kısmı yok.

Antivirüs yazılımlarının kararına güvenmeyi tercih ediyorum. Sonuçta programın eylemi bir yana koduna göre de karar veriyorlar.

2023 DLL için tespit:

Eki Görüntüle 1967943

2022 DLL için tespit:

Eki Görüntüle 1967945

Tespitler bildiğim şeyler değil. Antivirüsler de kendinden emin değil.

@Dutchman bir de siz bakabilir misiniz?

DLL dosyasında normalde 4 tespit vardı, yeniden taradığımda 2 tane AV daha (Kingsoft, Crowdstrike) virüs olarak tespit etti ve 6 oldu.

430518 · 5 Ekim 2023

Nizel G dedi:
Behavior testleri boş. DLL'lerin dış bağlantısı yok. İşlem ve servis eylemleri normalden daha temiz gözüküyor.

Benim gözümde şüpheli bir dosya. Sanırım gizlenmeye çalışıyor. Elle incelenecek bir kısmı yok.

Antivirüs yazılımlarının kararına güvenmeyi tercih ediyorum. Sonuçta programın eylemi bir yana koduna göre de karar veriyorlar.

2023 DLL için tespit:

Eki Görüntüle 1967943

2022 DLL için tespit:

Eki Görüntüle 1967945

Tespitler bildiğim şeyler değil. Antivirüsler de kendinden emin değil.

@Dutchman bir de siz bakabilir misiniz?

Adrastos dedi:
DLL dosyasında normalde 4 tespit vardı, yeniden taradığımda 2 tane AV daha (Kingsoft, Crowdstrike) virüs olarak tespit etti ve 6 oldu.

Şüpheli bir dosya diyorsunuz yani. O zaman bizim formayla oynama hayalleri suya düştü.

Dutchman · 7 Ekim 2023

Temiz görünüyor, Generic Machine Learning yani makine öğrenmesine göre şüpheli sınıfına alınmış. .exe dosyası temiz, SDK için gerekli DLL, oyun dosyalarına erişim için kullanılıyorsa bundan kaynaklı false/positive olma ihtimali var. Gerekli değilse kullanıp riske atmayın derim, fakat eğer illa kullanacaksanız, VPS üstünde kullanıp test edebilirsiniz aktivitelerini.

Genelde bu işlem için Wireshark kurup, bir yandan da bir Process monitor varyantı ile test edilecek dosyayı açar, yaptıklarına ve bağlantılarına bakarım. Deneyebilirsiniz çok gerekli ise.

430518 · 8 Ekim 2023

Dutchman dedi:
Temiz görünüyor, Generic Machine Learning yani makine öğrenmesine göre şüpheli sınıfına alınmış. .exe dosyası temiz, SDK için gerekli DLL, oyun dosyalarına erişim için kullanılıyorsa bundan kaynaklı false/positive olma ihtimali var. Gerekli değilse kullanıp riske atmayın derim, fakat eğer illa kullanacaksanız, VPS üstünde kullanıp test edebilirsiniz aktivitelerini.

Genelde bu işlem için Wireshark kurup, bir yandan da bir Process monitor varyantı ile test edilecek dosyayı açar, yaptıklarına ve bağlantılarına bakarım. Deneyebilirsiniz çok gerekli ise.

Yardımlarınız için çok teşekkür ederim, indirmemeye karar verdim.

FIFA Editor Tool Virüslü mü?

430518

Hectopat

Nizel G

Megapat

Adrastos

Gigapat

430518

Hectopat

Dutchman

Gigapat

430518

Hectopat