Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Jasiel

Como analisar/distinguir vírus de falso-positivo?

Recommended Posts

Olá, tudo certo? Ontem baixei um arquivo de um site de traduções para um jogo. Quando terminou de baixar verifiquei com meu Antivírus (Panda Free) e não constou ameaça alguma, mas quando iniciei ele, o Panda Free já mandou para quarentena acusando como vírus.

 

Queira saber como analisar arquivos e entender quais são realmente os arquivos que contém vírus e os falso-positivos. (Se é possível mesmo)

 

O arquivo em questão é esse aqui: Tradução do Titan Quest: Anniversary Edition. Analisei o arquivo no site "VirusTotal" mas não entendo absolutamente nada sobre aquelas siglas e nomes. No site que analisei constou três coisas:

 

image.png

 

Obrigado e boa noite à todos.

Compartilhar este post


Link para o post
Compartilhar em outros sites
34 minutos atrás, Jasiel disse:

Queira saber como analisar arquivos e entender quais são realmente os arquivos que contém vírus e os falso-positivos. (Se é possível mesmo)

Além de usar o VirusTotal, você pode comparar o tamanho do arquivo que o site diz e o arquivo baixado, por alguma razão o arquivo era para ter 19,27MB, de acordo com o site, mas tem somente 2,19MB, isso já é uma suspeita de vírus, também poderia testar outros arquivos do mesmo site para ver se os arquivos são iguais usando o VirusTotal ou checando se os tamanhos são iguais.

 

Testei a tradução do Dragon Age II e Serious Sam II e mandei para o VirusTotal, por alguma razão os arquivos são idênticos e possuem os 2,19MB , ou seja, provavelmente é vírus. É sempre bom utilizar o VirusTotal para checar se tem vírus, se esse site detectar somente 1 ou menos, provavelmente é um falso positivo.

 

Analisei o site e não achei outro link de download somente esse que vai para o arquivo de 2,19MB.

 

Além disso site que os arquivos estão por traz de survey complicado, Ex:psvep.com (já está fora) e pcsx4.com (novo psvep?), já é uma boa indicativa de vírus ou arquivo inexistente, que o survey existe somente para enganar.

  • Obrigado 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Charl Obrigado pela explicação. :joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

O arquivo nada mais é do que um "downloader", ou seja, você precisa instala-lo para que então seja baixado o arquivo que você deseja. Aquela mesma tática que era utilizada pelos sites de downloads conhecidos.

 

Este é um dos motivos que possivelmente fazem ele ser detectado como PUP.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@ciro-mota Obrigado pela resposta. Será que tem algum malware ou coisa do tipo que vem junto com ele? Posso usar?

Compartilhar este post


Link para o post
Compartilhar em outros sites

opa @Jasiel beleza? é sempre uma boa jogar os arquivo no virus total para ver o que ele vai nos retornar, o problema que muitas vezes apenas com essa informação retornada pelo V.T. não podemos dizer se é um artefato malicioso ou um simples programa (você pode ter o malware que ate o AV mais fuleiro detecta, se esse malware for passado em um crypter ou algum outro tipo de packer ele fica indetectavel para quase todos ou em todos AV) , nesses casos teria que se feito uma analise mais profunda naquele programa seja ela mais estatica (olhando as strings, dissecando, decompilando etc) ou mais dinamica (olhando os processos e arquivos gerados por ele, as modificações no sistema, conexões de rede, ganchos em funções e etc), e depois disso talvez ficaria mais simples dizer se realmente é um artefato malicioso ou um falso positivo. Uma boa para esse tipo de analise seria uma maquina virtual configurada especificamente para a analise com programas específicos para isso (alguns programas da sisinternal, sysanalyzer, sniffers como wireshark, hijackthis, gmer ou kernel detective, api monitor e etc) , outra opção seria uma sandbox especifica para a analise de mawlare como o cuckoo, tambem existem sites parecidos com o virus total só que são sandboxs que analisa e te retorna um relatório geral como o site da hybrid-analysis (inclusive ele tambem usa o virus total nas analises kkk) ^^

sobre o arquivo,  baixei ele la no site e a hash dele com a da imagem do virus total que voce postou é diferente, aqui ta baixando o arquivo tq_ae_ragnarok_br (relatorio: virus totalhybrid-analysis), pela imagem do hybrid ta instalando um trem de mosalopah kkkk, se for possivel upa esse ai 
 

  • Obrigado 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Obrigado gente. O arquivo que baixei na verdade é um tipo de Downloader que iria baixar de fato a tradução do jogo, lá no meio tinha aquelas abas chatas para instalação de barras e anti-vírus junto. Sempre baixei traduções do site e antigamente elas vinham com a logo do jogo e de fato era a tradução, agora eles implementaram aquele sistema chato...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário






Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×