NetLimiter key crack dosyasından virüs bulaşmış mıdır?

Herkese merhaba, foruma yeni kayıt oldum, ilk konum. Geçenlerde kardeşim bilgisayarda iken NetLimiter kurmuş. Daha sonra trial özellikleri işine yaramamış olacak ki gidip Rus forumunun tekinden serial key alma dosyası indirmiş. Dosyayı Hybrid Analysis ile inceledim ama şüpheli gözüküyor. Şu an dosyayı kaldırdım, Kaspersky ile tarattım, bir şey çıkmadı.

Yapmam gereken ayrıca bir şey var mı? Anladığım kadarıyla kendisi keylogger.
@Dutchman

Atılan dosya NetLimiter ile ilgili değil muhtemelen, atılan her ne ise genel olarak temiz görünüyor fakat NetLimiter'dan bağımsız muhtemelen.

Dutchman dedi:

Atılan dosya netlimiter ile ilgili değil muhtemelen, atılan her ne ise genel olarak temiz görünüyor fakat Netlimiter'dan bağımsız muhtemelen.

Genişletmek için tıkla...

Boşa panik yapmışım sevindim, çok teşekkürler. Dosyaya genel olarak temiz derken acaba şüpheli bir yanı mı var? Sistemde açılmış olması ciddi bir sorun oluşturur mu?
Onun yalancısıyım ama daha garip olan şey şu an bilgisayarda lisanslı bir net limiter var, tekrar soracağım ona.
Bir de hocam bu attığım dosyanın SHA256'sını virüs totale atınca orada bir sandbox sitesi malware olarak işaretlemiş, bu neden kaynaklı acaba? Ve keylogger olarak işaretlenmiş fakat başka bir şeyden mi kaynaklanıyor bu?
@Dutchman
Bir de hocam üstte ki hybird analys raporuna gidince owerviewe gidince ana dosyadan farklı bir tane daha falcon sandbox raporu çıkıyor, bu ikisi aynı dosya sadece ismi mi farklı?

Ve hocam son olarak bu dosyalardan bağımsız olarak, bu dosya temiz mi acaba? Cracktool diye işaretlenmiş sanırım Vt'de Free Automated Malware Analysis Service - powered by Falcon Sandbox.

Keylogger olduğunu sanmıyorum VMProtect kaynaklı false positive olabilir. Dosya adı farklı bu arada fakat hash aynı olduğu sürece problem yok.

Dutchman dedi:

Keylogger olduğunu sanmıyorum vmprotect kaynaklı false positive olabilir. Dosya adı farklı bu arada fakat hash aynı olduğu sürece problem yok.

Genişletmek için tıkla...

Anladım hocam, sırf bu uygulama yüzünden bilgisayarı formatlayacaktım incelediğiniz için çok teşekkürler, siz false positive diyorsanız sorun yoktur o zaman. Merakımdan soruyorum çok şüpheli diyebileceğimiz bir aktivitesi var mı? Yani kısaca endişe etmemi gerektirecek bir şey yok değil mi? @Dutchman

Son olarak rica etsem bu dosyaya da bakar mısınız?

@Sakuya Izayoi @Yerayay

İlk linkte paylaştığınız dosya zararliya ait. Arka planda değişik sitelere bağlanmış görünüyor. Bunu siz de fark etmişsiniz. VirusTotal linki de aynı şeyi işaret ediyor gördüğüm kadarıyla.

Bence zararlı. Silmekle temizlenmiştir diye düşünüyorum. Zaten Kaspersky ile de tarama yapmışsınız. Kendini Chrome Updater dışında bir göreve enjekte etmemiş zaten göründüğü kadarıyla.

Sakuya Izayoi dedi:

İlk linkte paylaştığınız dosya zararliya ait. Arka planda değişik sitelere bağlanmış görünüyor. Bunu siz de fark etmişsiniz. VirusTotal linki de aynı şeyi işaret ediyor gördüğüm kadarıyla.

Bence zararlı. Silmekle temizlenmiştir diye düşünüyorum. Zaten Kaspersky ile de tarama yapmışsınız. Kendini Chrome Updater dışında bir göreve enjekte etmemiş zaten göründüğü kadarıyla.

Genişletmek için tıkla...

Teşekkürler, ikinci link için ne düşünüyorsunuz peki? Bu ilk dosyanın hash değerini kaspersky portala atınca good clean olarak gösteriyor.

Aguos29x dedi:

Anladım hocam, sırf bu uygulama yüzünden bilgisayarı formatlayacaktım incelediğiniz için çok teşekkürler, siz false positive diyorsanız sorun yoktur o zaman. Merakımdan soruyorum çok şüpheli diyebileceğimiz bir aktivitesi var mı? Yani kısaca endişe etmemi gerektirecek bir şey yok değil mi? @Dutchman

Genişletmek için tıkla...

İşteyim müsait olduğumda bakacağım.

@Aguos29x Açıkçası HWID üzerinden işlem yapıyormuş gibi görünüyor ikinci linkte de. Keygen yazılımında bunu görmeyi ben beklerim açıkçası da davranisi yine zararlı gibi geldi bana.

İkinci dosya, HWID.exe olan basit bir spoofing appi. Net bir zararlı eylem görememekle beraber bu tarz uygulamalar zararlıların saklanması için son derece müsait. Gerekli olmadıkça kullanmayın, keza birçoğu HWID üzerinde oynama yaptıktan sonra geri kurtarmak mümkün olmuyor.

İlk dosyaya tekrar baktım, temiz. VapeV4 her ne ise onun dijital imzalı bir kopyası. Amacını bilmiyorum, fakat eğer sanallaştırma veya VMProtect bypass gerekiyorsa başarıyla yapıyor. Bu sebepten de zaten zararlı işaretleniyor. Genelde zararlılarda container dışına çıkmaya çalıştıklarında görürüz bunu, bu da takılmış buna. Net bir zararlı eylem göremedim. Her ihtimale karşılık heuristic özelliği olan bir AV gözetiminde çalıştırmakta fayda var. Minecraft Client şeklinde türeyip daha sonradan payload alan onlarca proje var.

Bu tarz arada kalınan durumlarda FileScan.io ile de taratmayı öneririm ayrıca.