سوالی در مورد malware ها و رجیستری

پست توسط **saman** » سه‌شنبه ژانویه 20, 2015 10:35 pm

یک نرم افزار امنیتی خارجی در رجیستری ویندوز تغییراتی را که برنامه k-lite mega codek pack اعمال کرده بود را به عنوان malware شناسایی میکند. آیا راهی برای ارسال اینگونه تهدیدات به امن پرداز(برای بررسی شدن) وجود دارد؟؟

پست توسط **Naficy** » چهارشنبه ژانویه 21, 2015 10:09 pm

سلام
راه ارسال این موضوع همین تالار یا ایمیل پشتیبانی است که با آن آشنا هستید.
اگر توضیح کامل‌تری بفرمایید می‌توان موضوع را بررسی کرد. مثلا اینکه نام این نرم‌افزار امنیتی و پیام‌های تشخیص آن را ارسال کنید. همچنین مشخص کنید برنامه k-lite mega codek pack که گفتید چه ورژنی مدنظر شماست و از کدام منبع تهیه کرده‌اید. (در هر دو مورد اگر فایل نصب آن را دارید کمک خوبی است)
بعد اگر نیاز به راهکار خاصی باشد می‌شود به آن رسید.

پست توسط **saman** » چهارشنبه ژانویه 21, 2015 10:22 pm

[quote="Naficy"]سلام
راه ارسال این موضوع همین تالار یا ایمیل پشتیبانی است که با آن آشنا هستید.
اگر توضیح کامل‌تری بفرمایید می‌توان موضوع را بررسی کرد. مثلا اینکه نام این نرم‌افزار امنیتی و پیام‌های تشخیص آن را ارسال کنید. همچنین مشخص کنید برنامه k-lite mega codek pack که گفتید چه ورژنی مدنظر شماست و از کدام منبع تهیه کرده‌اید. (در هر دو مورد اگر فایل نصب آن را دارید کمک خوبی است)
بعد اگر نیاز به راهکار خاصی باشد می‌شود به آن رسید.[/QUOTE]

ببینید من روی درایو دیگری از کامپیوتر ویندوز 8.1 دارم که اینترنت سکیوریتی کوئیک هیل(کشور هند) روی آن نصب است. کوئیک هیل (نسخه 30 روزه آزمایشی) بخشی به اسمanti malware بصورت جدا از اسکن اصلی برنامه دارد که امروز برای اولین بار تستش کردم و روی سیستم در بخش هایی از رجیستری مواردی را به عنوان low risk شناسایی کرده بود و گزینه ای برای clean داشت.
این موارد در بخش HKEY-LOCAL-MACHINE وجود داشت که این سوال برای من پیش آمد که چطور میتوانم این تهدیدات را برای امن پرداز ارسال کنم؟(تهدیداتی به این شکل)
تصویر زیر REPORT نرم افزار هندی است.

فایل ضمیمه malware.jpg دیگر موجود نیست

به نظر میرسد این آدرس مربوط به نرم افزار K-LITE باشد.
نسخه نصب شده روی کامپیوتر من هم ورژن 10.7.5 این نرم افزار است که احتمال زیاد از سایت SOFTGOZAR دانلود کرده ام.

پست توسط **Naficy** » شنبه ژانویه 24, 2015 9:36 am

سلام
این مساله را به تیم تحلیل ارجاع داده شده تا بررسی شود.

پست توسط **Naficy** » پنج‌شنبه ژانویه 29, 2015 12:47 pm

سلام
نتیجه بررسی‌ها مشخص شد: این یک تشخیص اشتباه در کوییک هیل است.

خود نرم‌افزار ffdshow یک سری کدک پخش فیلم/موسیقی متن‌باز و رایگان است که با توجه به متن‌باز و رایگان بودنش، در نرم‌افزارهای دیگر مانند KLite از آن استفاده شده است. همینطور حداقل یک adware نیز وجود دارد که از این نرم‌افزار رایگان سوءاستفاده کرده و در واقع به عنوان یک ffdshow تقلبی خود را جا زده و پس از نصب تبلیغات نیز نمایش می‌داده است. (نمونه adware تقلبی و نمونه نسخه اصلی)
به نظر می‌رسد کوییک هیل برای گرفتن این adware، اشتباها رجیستری‌های خود نرم‌افزار ffdshow را نیز به امضاهای خودش اضافه کرده است و علت تشخیص اشتباه نیز همین است.

اساسا رجیستری‌هایی که کوییک هیل تشخیص داده هیچ اثر مخربی ندارند، و فقط توسط خود نرم‌افزار ffdshow خوانده و استفاده می‌شوند.

پست توسط **saman** » پنج‌شنبه ژانویه 29, 2015 1:08 pm

[quote="Naficy"]سلام
نتیجه بررسی‌ها مشخص شد: این یک تشخیص اشتباه در کوییک هیل است.

خود نرم‌افزار ffdshow یک سری کدک پخش فیلم/موسیقی متن‌باز و رایگان است که با توجه به متن‌باز و رایگان بودنش، در نرم‌افزارهای دیگر مانند KLite از آن استفاده شده است. همینطور حداقل یک adware نیز وجود دارد که از این نرم‌افزار رایگان سوءاستفاده کرده و در واقع به عنوان یک ffdshow تقلبی خود را جا زده و پس از نصب تبلیغات نیز نمایش می‌داده است. (نمونه adware تقلبی و نمونه نسخه اصلی)
به نظر می‌رسد کوییک هیل برای گرفتن این adware، اشتباها رجیستری‌های خود نرم‌افزار ffdshow را نیز به امضاهای خودش اضافه کرده است و علت تشخیص اشتباه نیز همین است.

اساسا رجیستری‌هایی که کوییک هیل تشخیص داده هیچ اثر مخربی ندارند، و فقط توسط خود نرم‌افزار ffdshow خوانده و استفاده می‌شوند.[/QUOTE]

تشکر فراوان