Hybrid analysis sonuçları nasıl?

342524 · 28 Nisan 2022

Merhabalar, Hybrid analysis sonuçları bir setup dosyası için normal mi?

https://www.hybrid-analysis.com/sample/2da1c9efcd08b722ccdd2f1790aa1b8699378eff17c322ba4d76066bb154

Dutchman · 28 Nisan 2022

Link çalışmıyor, private analyze mı gerçekleştirdiniz?

342524 · 28 Nisan 2022

Dutchman dedi:
Link çalışmıyor, private analyze mı gerçekleştirdiniz?

Bir saniye düzeltip geliyorum.

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

@Dutchman.
Buyurn hocam.
@350070.

Dutchman · 28 Nisan 2022

Korsan Garry's Mod kurulum dosyası sanırım.
Sadece kurulum dosyasını taratarak bütün paketin temiz olduğunu söyleyemem. Setup dosyasında zararlı eylem gözüme çarpmadı fakat riskli. Hybrid Analysis raporuna göre de Kernel32 ve advapi32'den sık sık veri çekiyor, explorer.exe üzerinde işlem yürütüyor. Bir kurulum dosyasının bu kadar fazla sistem modülüne neden ulaştığını merak ediyorum. Yine de kullanılmamasında fayda var. Net bir tehdit olmasa bile potansiyel olarak risk oluşturabilir.

342524 · 28 Nisan 2022

Dutchman dedi:
Korsan Garry's Mod kurulum dosyası sanırım.
Sadece kurulum dosyasını taratarak bütün paketin temiz olduğunu söyleyemem. Setup dosyasında zararlı eylem gözüme çarpmadı fakat riskli. Hybrid Analysis raporuna göre de Kernel32 ve advapi32'den sık sık veri çekiyor, explorer.exe üzerinde işlem yürütüyor. Bir kurulum dosyasının bu kadar fazla sistem modülüne neden ulaştığını merak ediyorum. Yine de kullanılmamasında fayda var. Net bir tehdit olmasa bile potansiyel olarak risk oluşturabilir.

Dosya çektiği için olabilir mi? Her indirdiği bu verileri sisteme tanıtmak için veri çekiyor olabilir mi?

Dutchman · 28 Nisan 2022

342524 dedi:
Dosya çektiği için olabilir mi? Her indirdiği bu verileri sisteme tanıtmak için veri çekiyor olabilir mi?

Sisteme tanıtacaksa bunu kernel32 ile yapmayabilir. Doğrudan Windows bileşenlerine neden tanıtıyor ayrıca? Dosyayı yürütmek için gerekli bileşenleri zaten Visual C++ kütüphanelerinden fazlasıyla alıyor. Bir de neden bir kurulum dosyası sandbox kontrolü yapar?

342524 · 28 Nisan 2022

Dutchman dedi:
Sisteme tanıtacaksa bunu kernel32 ile yapmayabilir. Doğrudan Windows bileşenlerine neden tanıtıyor ayrıca? Dosyayı yürütmek için gerekli bileşenleri zaten Visual C++ kütüphanelerinden fazlasıyla alıyor. Bir de neden bir kurulum dosyası sandbox kontrolü yapar?

Sandboxie üzerinde deneme yaparsam sıkıntı yaşar mıyım?
@Dutchman.

Dutchman · 28 Nisan 2022

342524 dedi:
Sandboxie üzerinde deneme yaparsam sıkıntı yaşar mıyım?

Sandbox koruması olduğu için sanallaştırılmış ortamlarda pek çalışacağını sanmıyorum fakat deneyebilirsiniz.
.bin dosyaları haricinde farklı bir dosya var mı kurulum konumunda? Varsa onları da taratın derim.

342524 · 28 Nisan 2022

Dutchman dedi:
Sandbox koruması olduğu için sanallaştırılmış ortamlarda pek çalışacağını sanmıyorum fakat deneyebilirsiniz.
.bin dosyaları haricinde farklı bir dosya var mı kurulum konumunda? Varsa onları da taratın derim.

Bunu taratayım mı?

Dutchman dedi:
Sandbox koruması olduğu için sanallaştırılmış ortamlarda pek çalışacağını sanmıyorum fakat deneyebilirsiniz.
.bin dosyaları haricinde farklı bir dosya var mı kurulum konumunda? Varsa onları da taratın derim.

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

@Dutchman Sanırım dosya malware.

Dutchman · 28 Nisan 2022

Dosya malware değil, Autorun dosyası, disk veya USB gibi yürütülebilir bir medya sisteme takıldığında, sistemin kullanıcı etkileşimi olmadan ne işlem yapacağını belirtir. Analiz sonucunda da bu dosyanın bulunduğu diğer rapor sonuçları gösterilmiş. Autorun dosyalarında zararlı olmaz, sadece amaç zararlı bulaştırmak ise zararlıyı tetiklemek için kullanılacak bir metin girdisi olur.

Dosyanın genel olarak zararsız olduğunu düşünüyor, fakat bu konuda garanti veremiyorum.

Hybrid analysis sonuçları nasıl?

342524

Hectopat

Dutchman

Terapat

342524

Hectopat

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Dutchman

Terapat

342524

Hectopat

Dutchman

Terapat

342524

Hectopat

Dutchman

Terapat

342524

Hectopat

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Dutchman

Terapat