Terekest kah.

Avastasin torrenti mängust GT Legends mis pidavat olema crackitud ning töötama perfektselt. Niisis otsustasin (kas nüüd lolli peaga?) asja järgi proovida. Tõmbasin asja ilusasti ära, pakkisin lahti ning pauh! Nod 32 kisama kahe viiruse peale. Üks neist oli "GToED.exe" ning teine "De-Install-RegistryEntries.exe". Mis üllatas mind on see, et mäng TÖÖTAS! Tegemist on mänguga mida olen iidamast juba mängida tahtnud, kuid arvuti turvalisuse mõttes ei julge seda teha. Viirustest? muidugi sain ma lahti, kuid mida ma küsida tahan on just see, et kas tegemist ON viirustega võid NOD32 lihtsalt "bitchib"?

Torrent ise muidu SIIN (Kui huvi pärast tõmbate siis teete seda omal vastutusel)

Kommentaarides kirjas siin, et tegemist pole viirustega kuid tahaksin ikkagi asjas 100% kindel olla. Niisis küsimus ongi selles, et kuidas ma saaksin neid faile analüüsida ning teha kindlaks seda, kas on tegemist viirustega või mitte?

-Undefined

[Muudetud: 8.10.2009 Undefined]

Saada need failid mulle, nt parooliga rar failis.

Kiirem viis on nt Virustotalit kasutada.
Või siis CIMA kasutamine.

Viimane peaks ära näitama, kui kuhugi installitakse mingi kahtlane fail, nt svhost.exe system32 kausta. Siis on 99% tegemist pahavaraga.

http://www.virustotal.com - uploadi need failid sinna ja vaata, mis öeldakse. Ära kohe põe, kui report pooli asju punasena näitab; pigem postita link reportile ja siis vaatame, kas tegu tõesti pahaga või lihtsalt antiviiruseid ärritava asjaga.

heh, Lord Ami jõudis ette, aga ma lisan vähemalt enda hoiatuse virustotali reporti kohta

GToED.exe
http://www.virustotal.com/analisis/29f1d228d43dfd3358bc0fea3152bfb4...

De-Install-RegistryEntries.exe
http://www.virustotal.com/analisis/9f92cf6248b975456ef8a1a22a390d79...

Ning üks asi jäi mul veel silma: RegSet.exe
http://www.virustotal.com/analisis/3048ad46310625bc05bdf0a4aa741a7b...

Ma ütleks selliste tulemuste alusel, et pigem ei ole tegu viirusega (mõned olulised antiviirused, eriti VBA32, ei kobise ja teised on kahtleval seisukohal) - aga osad analüüsid on mitu kuud vanad ja seega kui viitsid, skaneeri sealsamas virustotalis uuesti (kuskil on nupp Rescan vmt).

RegSet.exe muudab registrit (täpsemalt all);
GToeD.exe - näitab graafikat ja teksti mis võetakse krüptitud sisust, mis on omakord "visatud" Windowsi Temp kausta. Samuti käivitab see GToeD.exe faili RegSet.exe
De-Install-RegistryEntries.exe - kustutab registri sisu.

See nn tööriist võib olla asi, mida saab kasutada registri andmete kandmiseks süsteemi registrisse (näiteks .exe failile)
Hiljem saab seda kasutada registri patcheri/modifitseerijana.

Need 2 .exe faili sisaldavad krüptitud .reg faile, mis kantakse/võetakse/eemaldatakse registrist.

De-Install-RegistryEntries.exe

Kood:

REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\10tacle Studios] [-HKEY_LOCAL_MACHINE\SOFTWARE\10tacle Studios\GTL] "InstallDir"=".:\\GTL" X

RegSet.exe

Kood:

REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\10tacle Studios] [HKEY_LOCAL_MACHINE\SOFTWARE\10tacle Studios\GTL] "InstallDir"=".:\\GTL" ©

Kokkuvõte: Need failid pole pahatahtlikud, aga neid saab selleks kasutada, kui muuta nende registri andmeid (failide sees)

Lauri

Ei oskagi sind kuidagi ära tänada! Tõesti, suured tänud sulle!