Avastasin torrenti mängust GT Legends mis pidavat olema crackitud ning töötama perfektselt. Niisis otsustasin (kas nüüd lolli peaga?) asja järgi proovida. Tõmbasin asja ilusasti ära, pakkisin lahti ning pauh! Nod 32 kisama kahe viiruse peale. Üks neist oli "GToED.exe" ning teine "De-Install-RegistryEntries.exe". Mis üllatas mind on see, et mäng TÖÖTAS! Tegemist on mänguga mida olen iidamast juba mängida tahtnud, kuid arvuti turvalisuse mõttes ei julge seda teha. Viirustest? muidugi sain ma lahti, kuid mida ma küsida tahan on just see, et kas tegemist ON viirustega võid NOD32 lihtsalt "bitchib"?
Torrent ise muidu SIIN (Kui huvi pärast tõmbate siis teete seda omal vastutusel)
Kommentaarides kirjas siin, et tegemist pole viirustega kuid tahaksin ikkagi asjas 100% kindel olla. Niisis küsimus ongi selles, et kuidas ma saaksin neid faile analüüsida ning teha kindlaks seda, kas on tegemist viirustega või mitte?
-Undefined
[Muudetud: 8.10.2009 Undefined]Lord Ami - 8.10.2009 18:38
Saada need failid mulle, nt parooliga rar failis.
Kiirem viis on nt Virustotalit kasutada.
Või siis CIMA kasutamine.
Viimane peaks ära näitama, kui kuhugi installitakse mingi kahtlane fail, nt svhost.exe system32 kausta. Siis on 99% tegemist pahavaraga.DonQ - 8.10.2009 18:40
http://www.virustotal.com - uploadi need failid sinna ja vaata, mis öeldakse. Ära kohe põe, kui report pooli asju punasena näitab; pigem postita link reportile ja siis vaatame, kas tegu tõesti pahaga või lihtsalt antiviiruseid ärritava asjaga.
heh, Lord Ami jõudis ette, aga ma lisan vähemalt enda hoiatuse virustotali reporti kohta Undefined - 8.10.2009 22:00
Ma ütleks selliste tulemuste alusel, et pigem ei ole tegu viirusega (mõned olulised antiviirused, eriti VBA32, ei kobise ja teised on kahtleval seisukohal) - aga osad analüüsid on mitu kuud vanad ja seega kui viitsid, skaneeri sealsamas virustotalis uuesti (kuskil on nupp Rescan vmt).Lord Ami - 9.10.2009 18:29
RegSet.exe muudab registrit (täpsemalt all); GToeD.exe - näitab graafikat ja teksti mis võetakse krüptitud sisust, mis on omakord "visatud" Windowsi Temp kausta. Samuti käivitab see GToeD.exe faili RegSet.exe De-Install-RegistryEntries.exe - kustutab registri sisu.
See nn tööriist võib olla asi, mida saab kasutada registri andmete kandmiseks süsteemi registrisse (näiteks .exe failile)
Hiljem saab seda kasutada registri patcheri/modifitseerijana.
Need 2 .exe faili sisaldavad krüptitud .reg faile, mis kantakse/võetakse/eemaldatakse registrist.
