صفحه 1 از 1
سوالی در مورد malware ها و رجیستری
ارسال شده: سهشنبه ژانویه 20, 2015 10:35 pm
توسط saman
یک نرم افزار امنیتی خارجی در رجیستری ویندوز تغییراتی را که برنامه k-lite mega codek pack اعمال کرده بود را به عنوان malware شناسایی میکند. آیا راهی برای ارسال اینگونه تهدیدات به امن پرداز(برای بررسی شدن) وجود دارد؟؟
ارسال شده: چهارشنبه ژانویه 21, 2015 10:09 pm
توسط Naficy
سلام
راه ارسال این موضوع همین تالار یا ایمیل پشتیبانی است که با آن آشنا هستید.
اگر توضیح کاملتری بفرمایید میتوان موضوع را بررسی کرد. مثلا اینکه نام این نرمافزار امنیتی و پیامهای تشخیص آن را ارسال کنید. همچنین مشخص کنید برنامه k-lite mega codek pack که گفتید چه ورژنی مدنظر شماست و از کدام منبع تهیه کردهاید. (در هر دو مورد اگر فایل نصب آن را دارید کمک خوبی است)
بعد اگر نیاز به راهکار خاصی باشد میشود به آن رسید.
ارسال شده: چهارشنبه ژانویه 21, 2015 10:22 pm
توسط saman
[quote="Naficy"]سلام
راه ارسال این موضوع همین تالار یا ایمیل پشتیبانی است که با آن آشنا هستید.
اگر توضیح کاملتری بفرمایید میتوان موضوع را بررسی کرد. مثلا اینکه نام این نرمافزار امنیتی و پیامهای تشخیص آن را ارسال کنید. همچنین مشخص کنید برنامه k-lite mega codek pack که گفتید چه ورژنی مدنظر شماست و از کدام منبع تهیه کردهاید. (در هر دو مورد اگر فایل نصب آن را دارید کمک خوبی است)
بعد اگر نیاز به راهکار خاصی باشد میشود به آن رسید.[/QUOTE]
ببینید من روی درایو دیگری از کامپیوتر ویندوز 8.1 دارم که اینترنت سکیوریتی کوئیک هیل(کشور هند) روی آن نصب است. کوئیک هیل (نسخه 30 روزه آزمایشی) بخشی به اسمanti malware بصورت جدا از اسکن اصلی برنامه دارد که امروز برای اولین بار تستش کردم و روی سیستم در بخش هایی از رجیستری مواردی را به عنوان low risk شناسایی کرده بود و گزینه ای برای clean داشت.
این موارد در بخش HKEY-LOCAL-MACHINE وجود داشت که این سوال برای من پیش آمد که چطور میتوانم این تهدیدات را برای امن پرداز ارسال کنم؟(تهدیداتی به این شکل)
تصویر زیر REPORT نرم افزار هندی است.
فایل ضمیمه malware.jpg دیگر موجود نیست
به نظر میرسد این آدرس مربوط به نرم افزار K-LITE باشد.
نسخه نصب شده روی کامپیوتر من هم ورژن 10.7.5 این نرم افزار است که احتمال زیاد از سایت SOFTGOZAR دانلود کرده ام.
ارسال شده: شنبه ژانویه 24, 2015 9:36 am
توسط Naficy
سلام
این مساله را به تیم تحلیل ارجاع داده شده تا بررسی شود.
ارسال شده: پنجشنبه ژانویه 29, 2015 12:47 pm
توسط Naficy
سلام
نتیجه بررسیها مشخص شد: این یک
تشخیص اشتباه در کوییک هیل است.
خود نرمافزار
ffdshow یک سری کدک پخش فیلم/موسیقی متنباز و رایگان است که با توجه به متنباز و رایگان بودنش، در نرمافزارهای دیگر مانند KLite از آن استفاده شده است. همینطور حداقل یک adware نیز وجود دارد که از این نرمافزار رایگان سوءاستفاده کرده و در واقع به عنوان یک ffdshow تقلبی خود را جا زده و پس از نصب تبلیغات نیز نمایش میداده است. (
نمونه adware تقلبی و
نمونه نسخه اصلی)
به نظر میرسد کوییک هیل برای گرفتن این adware، اشتباها رجیستریهای خود نرمافزار ffdshow را نیز به امضاهای خودش اضافه کرده است و علت تشخیص اشتباه نیز همین است.
اساسا رجیستریهایی که کوییک هیل تشخیص داده هیچ اثر مخربی ندارند، و فقط توسط خود نرمافزار ffdshow خوانده و استفاده میشوند.
ارسال شده: پنجشنبه ژانویه 29, 2015 1:08 pm
توسط saman
[quote="Naficy"]سلام
نتیجه بررسیها مشخص شد: این یک
تشخیص اشتباه در کوییک هیل است.
خود نرمافزار
ffdshow یک سری کدک پخش فیلم/موسیقی متنباز و رایگان است که با توجه به متنباز و رایگان بودنش، در نرمافزارهای دیگر مانند KLite از آن استفاده شده است. همینطور حداقل یک adware نیز وجود دارد که از این نرمافزار رایگان سوءاستفاده کرده و در واقع به عنوان یک ffdshow تقلبی خود را جا زده و پس از نصب تبلیغات نیز نمایش میداده است. (
نمونه adware تقلبی و
نمونه نسخه اصلی)
به نظر میرسد کوییک هیل برای گرفتن این adware، اشتباها رجیستریهای خود نرمافزار ffdshow را نیز به امضاهای خودش اضافه کرده است و علت تشخیص اشتباه نیز همین است.
اساسا رجیستریهایی که کوییک هیل تشخیص داده هیچ اثر مخربی ندارند، و فقط توسط خود نرمافزار ffdshow خوانده و استفاده میشوند.[/QUOTE]
تشکر فراوان