Ir ao conteúdo
  • Cadastre-se
Jasiel

Como analisar/distinguir vírus de falso-positivo?

Recommended Posts

Olá, tudo certo? Ontem baixei um arquivo de um site de traduções para um jogo. Quando terminou de baixar verifiquei com meu Antivírus (Panda Free) e não constou ameaça alguma, mas quando iniciei ele, o Panda Free já mandou para quarentena acusando como vírus.

 

Queira saber como analisar arquivos e entender quais são realmente os arquivos que contém vírus e os falso-positivos. (Se é possível mesmo)

 

O arquivo em questão é esse aqui: Tradução do Titan Quest: Anniversary Edition. Analisei o arquivo no site "VirusTotal" mas não entendo absolutamente nada sobre aquelas siglas e nomes. No site que analisei constou três coisas:

 

image.png

 

Obrigado e boa noite à todos.

Compartilhar este post


Link para o post
Compartilhar em outros sites
34 minutos atrás, Jasiel disse:

Queira saber como analisar arquivos e entender quais são realmente os arquivos que contém vírus e os falso-positivos. (Se é possível mesmo)

Além de usar o VirusTotal, você pode comparar o tamanho do arquivo que o site diz e o arquivo baixado, por alguma razão o arquivo era para ter 19,27MB, de acordo com o site, mas tem somente 2,19MB, isso já é uma suspeita de vírus, também poderia testar outros arquivos do mesmo site para ver se os arquivos são iguais usando o VirusTotal ou checando se os tamanhos são iguais.

 

Testei a tradução do Dragon Age II e Serious Sam II e mandei para o VirusTotal, por alguma razão os arquivos são idênticos e possuem os 2,19MB , ou seja, provavelmente é vírus. É sempre bom utilizar o VirusTotal para checar se tem vírus, se esse site detectar somente 1 ou menos, provavelmente é um falso positivo.

 

Analisei o site e não achei outro link de download somente esse que vai para o arquivo de 2,19MB.

 

Além disso site que os arquivos estão por traz de survey complicado, Ex:psvep.com (já está fora) e pcsx4.com (novo psvep?), já é uma boa indicativa de vírus ou arquivo inexistente, que o survey existe somente para enganar.

  • Obrigado 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Charl Obrigado pela explicação. :joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

O arquivo nada mais é do que um "downloader", ou seja, você precisa instala-lo para que então seja baixado o arquivo que você deseja. Aquela mesma tática que era utilizada pelos sites de downloads conhecidos.

 

Este é um dos motivos que possivelmente fazem ele ser detectado como PUP.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@ciro-mota Obrigado pela resposta. Será que tem algum malware ou coisa do tipo que vem junto com ele? Posso usar?

Compartilhar este post


Link para o post
Compartilhar em outros sites

opa @Jasiel beleza? é sempre uma boa jogar os arquivo no virus total para ver o que ele vai nos retornar, o problema que muitas vezes apenas com essa informação retornada pelo V.T. não podemos dizer se é um artefato malicioso ou um simples programa (você pode ter o malware que ate o AV mais fuleiro detecta, se esse malware for passado em um crypter ou algum outro tipo de packer ele fica indetectavel para quase todos ou em todos AV) , nesses casos teria que se feito uma analise mais profunda naquele programa seja ela mais estatica (olhando as strings, dissecando, decompilando etc) ou mais dinamica (olhando os processos e arquivos gerados por ele, as modificações no sistema, conexões de rede, ganchos em funções e etc), e depois disso talvez ficaria mais simples dizer se realmente é um artefato malicioso ou um falso positivo. Uma boa para esse tipo de analise seria uma maquina virtual configurada especificamente para a analise com programas específicos para isso (alguns programas da sisinternal, sysanalyzer, sniffers como wireshark, hijackthis, gmer ou kernel detective, api monitor e etc) , outra opção seria uma sandbox especifica para a analise de mawlare como o cuckoo, tambem existem sites parecidos com o virus total só que são sandboxs que analisa e te retorna um relatório geral como o site da hybrid-analysis (inclusive ele tambem usa o virus total nas analises kkk) ^^

sobre o arquivo,  baixei ele la no site e a hash dele com a da imagem do virus total que voce postou é diferente, aqui ta baixando o arquivo tq_ae_ragnarok_br (relatorio: virus totalhybrid-analysis), pela imagem do hybrid ta instalando um trem de mosalopah kkkk, se for possivel upa esse ai 
 

  • Obrigado 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Obrigado gente. O arquivo que baixei na verdade é um tipo de Downloader que iria baixar de fato a tradução do jogo, lá no meio tinha aquelas abas chatas para instalação de barras e anti-vírus junto. Sempre baixei traduções do site e antigamente elas vinham com a logo do jogo e de fato era a tradução, agora eles implementaram aquele sistema chato...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×