Çözüldü Trojan:MSIL/Bobik.PTFJ!MTB nedir?

Bu konu çözüldü olarak işaretlenmiştir. Çözülmediğini düşünüyorsanız konuyu rapor edebilirsiniz.
Lotototo

Lotototo

Hectopat
Katılım
21 Eylül 2020
Mesajlar
276
Çözümler
4
Yer
Bodrum
Daha fazla  
Cinsiyet
Erkek
Selamlar,

Macro Recorder adresinden, Jitbit Macro Recorder uygulamasını indirdim, kendime göre bi makro ayarladım EXE'ye çıkardığım anda Windows Defender, EXE'yi Trojan:MSIL/Bobik.PTFJ!MTB olarak gördü, EXE olarak çıkarana kadar kullanımda herhangi bir sorun yoktu, False Positive midir yoksa sıkıntı mı?
 
Son düzenleyen: Moderatör:
Çözüm
Lusadris
Merhaba, EXE yaptığınız için oluyor. Bahsettiğiniz program da güvenilir. Sonuç false positive. Antivirüsler derlenmiş dosyalara karşı tek başına çalıştırılabilir olduklarından dolayı çok daha agresif davranıyorlar hocam, sebebi bu.
Tarihe göre sırala Puana göre sırala
Lotototo dedi:
Selamlar,

Macro Recorder adresinden, Jitbit Macro Recorder uygulamasını indirdim, kendime göre bi makro ayarladım EXE'ye çıkardığım anda Windows Defender, EXE'yi Trojan:MSIL/Bobik.PTFJ!MTB olarak gördü, EXE olarak çıkarana kadar kullanımda herhangi bir sorun yoktu, False Positive midir yoksa sıkıntı mı?
Genişletmek için tıkla...
VirusTotal genel sonucu ile Behavior kısmını paylaşır mısınız?
 
Artı 0 Eksi

Dosya Ekleri

  • 1.png
    1.png
    499,9 KB · Görüntüleme: 8
  • 2.png
    2.png
    11,1 KB · Görüntüleme: 8
Artı 0 Eksi
Lotototo dedi:
@Phenyl
-Detection kısmı
-Behaviour kısmı

Exe olarak çıkarana kadar uygulamanın kendisinde bir sorun yoktu, indirdiğim link de sahte değil Jitbit'in orjinal sitesi diye düşünüyorum.
Genişletmek için tıkla...
Dosya kesinlikle zararlı, Behavior kısmındaki kısımları GPT'ye derlettim ve yazdırdım. İstersen detaylıca okuyabilirsin.

Gözlemlenmiş teknik eylemler​


  1. Anti-analysis
    • IsDebuggerPresent çağrısı ve GetTickCount kullanımı ile debugger/sandbox tespiti.
    • Uzun uyku (long-sleeps) ile davranışı geciktirip dinamik analizden saklanma.
  2. Dosya sistemi etkileşimi
    • Çalıştırılan / yazılan dosyalar: C:\Users\<USER>\Desktop\bot.exe, CRYPTSP.dll.
    • Log dosyası oluşturma/yazma: C:\Users\<USER>\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\bot.exe.log.
    • Muhtemel self-drop / self-copy davranışı (kendi kopyasını oluşturup çalıştırma).
  3. Process / Execution
    • Yeni süreç başlatma: bot.exe birden fazla PID ile çalıştırılmış.
    • Windows servis süreçleriyle etkileşim: services.exe, svchost.exe, wmiprvse.exe (WMI yoluyla erişim/komut çalıştırma ihtimali).
    • Bazı süreçlerin (veya kendi süreçlerinin) sonlandırılması gözlemlenmiş.
  4. Registry erişimi
    • Okunan anahtarlar: HKEY_CURRENT_USER\EUDC\1252, .NETFramework\XML, Windows\CurrentVersion\Themes\Personalize, Software\Classes\CLSID\{...}.
    • Bu tip okumalar sistem konfigürasyon keşfi ve potansiyel kalıcılık/COM hijack keşfi içindir.
  5. .NET runtime kullanımı
    • Yüklenen runtime modülleri: clr.dll, mscoree.dll, mscorlib.ni.dll vb. → .NET tabanlı binary.
  6. Ağ / DNS aktivitesi
    • DNS çözümlemeleri: dns.google, sajatypeworks.comi, sajatypeworks.comk.
    • Muhtemel C2 bağlantısı veya veri sızdırma girişimleri (DNS ve HTTP(S) URL patternleri listelenmiş).
  7. Bellek / pattern eşleşmeleri
    • Bellekte tespit edilen URL/domain pattern’leri ve GitHub / scripts.sil.org gibi referanslar (muhtemelen meşru kaynakları maskelemek için kullanılan stringler).
  8. Koleksiyon / Credential Access
    • Davranış katalogu: Collection, Credential Access başlıkları — veri toplanması ve kimlik bilgisi erişimi riski.

Gözlemlenen IOCs (kısa liste)​


  • Dosyalar: C:\Users\<USER>\Desktop\bot.exe, C:\Users\<USER>\Desktop\CRYPTSP.dll, C:\Users\<USER>\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\bot.exe.log
  • Registry anahtarları: HKEY_CURRENT_USER\Software\Classes\CLSID\{01B90D9A-8209-47F7-9C52-E1244BF50CED}, (diğer GUID’ler listede)
  • Domain / DNS: sajatypeworks.comi, sajatypeworks.comk, dns.google
  • Behavior similarity hashes:
    • CAPA: ba02937845a6b61184314c57cccb0075
    • CAPE Sandbox: cf2bb549c8626e2b4b0e80d71455c0fa
    • VirusTotal Jujubox: d8b4afd871b9e0acaac35d88dcf4831a
    • Zenbox: 6da02557f6205cee782007e7df51e3bb

Hızlı teknik kontroller (Windows)​


(komutları yönetici PowerShell / CMD’de çalıştır)


  • Çalışan süreçleri ve PID’i göster:
    tasklist /v
    wmic process where "name='bot.exe'" get ProcessId,CommandLine,ParentProcessId
  • Ağ bağlantıları / hangi süreç hangi bağlantıyı açmış:
    netstat -ano | findstr :80 (veya genel: netstat -ano)
    Get-Process -Id <PID> | Select-Object * (PowerShell)
  • DNS önbelleğini kontrol:
    ipconfig /displaydns | findstr /i "sajatypeworks"
  • Hizmetler ve şüpheli otomatik başlatma noktaları:
    sc queryex type= service state= all | findstr /i "bot"
    reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
  • Dosya sisteminde iz sürme:
    dir /s /b C:\Users\<USER>\Desktop\bot.exe
    Get-ChildItem -Path C:\Users\<USER>\AppData -Recurse -Force | Where-Object Name -match "bot|cryptsp"
  • Önbellek / log toplayın (adli amaç):
    • Windows Event Logs: wevtutil qe System /q:"*[System[(TimeCreated>= '2025-10-23T00:00:00.000Z')]]" (tarih aralığını ayarla)
    • DNS cache: ipconfig /displaydns > dnscache.txt
    • Running processes snapshot: tasklist /v > processes.txt
    • Netstat + owner: netstat -abno > netstat.txt (yönetici)
Basitçe ise;

  • Bu program sessizce arka planda çalıştı.
  • Önce “biri beni izliyor mu?” diye kontrol etti, sonra uzun süre bekleyip dikkat çekmemeye çalıştı.
  • Kendi kopyasını masaüstüne koydu ve bot.exe olarak çalıştırdı.
  • Küçük bir günlük dosyası yazdı (ne yaptığını kaydetmek için).
  • Bilgisayarın ayarlarına göz attı — sistemde neler var, neler yapılabiliyor diye “kurcaladı”.
  • Windows’un normal çalışan parçalarının içine karışmaya çalıştı, böylece fark edilmesi zorlaştı.
  • İnternete çıkıp bazı şüpheli adreslere baktı — muhtemelen uzaktaki bir sunucuya bağlanıp bilgi göndermek ya da uzaktan talimat almak için.
Malwarebytes ile Rootkitlere kadar taramanı tavsiye ederim, direkt olarak zararlı yazılım.
 
Artı 0 Eksi
Kod: 
rule Trojan_BAT_Bobik_PTFJ_MTB{
    meta:
        description = "Trojan:BAT/Bobik.PTFJ!MTB,SIGNATURE_TYPE_PEHSTR_EXT,02 00 02 00 01 00 00 "
       
    strings :
        $a_01_0 = {03 06 16 07 6f 8b 01 00 0a 02 06 16 06 8e 69 6f 8c 01 00 0a 25 0b 16 30 e7 } //2
    condition:
        ((#a_01_0  & 1)*2) >=2
İmzası bunun gibi. İstersen bu imza çıkmasın diye dosyayı düzeltebilirim.
 
Son düzenleme:
Artı 0 Eksi
@Phenyl
@Turkıye anlasması

- Nasıl oluyor da Jitbit resmi sitesinden indirdiğim uygulama dolaylı olarak da olsa Trojanli oluyor anlamadım, yani makroyu çalıştırınca bir şey yok ama 'Compile to EXE' deyince o EXE'yi Trojan olarak buluyor, başka projeleri de var güvenilir bi şirket gibi duruyor: jitbit.com. Gerçekten kötü amaçlı bir Trojen mi bu, False Positive olma şansı var mı?

- 1. görseldeki seçeneklerle C ve D'yi seçerek manuel scan başlattım masaüstündeki EXE'yi gördü (sonucu da SS olarak ekledim)
 

Dosya Ekleri

  • scan options.png
    scan options.png
    9,9 KB · Görüntüleme: 5
  • scan result.png
    scan result.png
    35,5 KB · Görüntüleme: 4
Artı 0 Eksi
Virus totalde 23 farklı yer virüs gösteriyor hocam bu basbaya virüs false-positif genelde 2-3 farklı yer virüs gösterir olur.
 
Artı 0 Eksi

Benzer konular

Z
Jitbit Macro Recorder güvenilir mi?
Mesaj
0
Görüntüleme
760
zeus1321
Z
sir_adaninsan
Jitbit macro recorder nasıldır?
Mesaj
2
Görüntüleme
1.782
brkyozell
brkyozell
Feylix
"Trojan:MSIL/CryptInject.C!MTB" nedir?
2
Mesaj
19
Görüntüleme
4.517
EMİR37
EMİR37
TALORU
Trojan:MSIL/Downloader.SDV!MTB virüsü
Mesaj
8
Görüntüleme
2.616
Linux Kaymak
Linux Kaymak
Z
Macro Recorder güvenilir mi?
Mesaj
2
Görüntüleme
676
zeus1321
Z

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı