Neler Yeni

SonOyuncu Launcher virüslü mü?

Katılım
20 Ağustos 2023
Mesajlar
27
Dahası  
Reaksiyon skoru
7
İsim
Pro Heçkır
En son TLauncher in kendi kaynaklarından java indirterek pc lere virüs bulaştırdığını görmüştüm.Aynı kendi sitesinden java indirmesi yapan SonOyuncu da var sizce SonOyuncu launcherin virüslü olma ihtimali var mı?
 
Katılım
25 Eylül 2022
Mesajlar
2,818
Dahası  
Reaksiyon skoru
572
İsim
Paşadöner
En son TLauncher in kendi kaynaklarından java indirterek pc lere virüs bulaştırdığını görmüştüm.Aynı kendi sitesinden java indirmesi yapan SonOyuncu da var sizce SonOyuncu launcherin virüslü olma ihtimali var mı?
Yok
 

Emre Zengin

Moderatör
Katılım
22 Nisan 2021
Mesajlar
20,263
En İyi Cevap
20
Dahası  
Reaksiyon skoru
7,874
Konum
Çorlu/Tekirdağ
İsim
Emre Zengin
En son TLauncher in kendi kaynaklarından java indirterek pc lere virüs bulaştırdığını görmüştüm.Aynı kendi sitesinden java indirmesi yapan SonOyuncu da var sizce SonOyuncu launcherin virüslü olma ihtimali var mı?
Senelerdir oynuyorum. Virüslük bir durumu yok.
 

ReadyorNot

80+ Bronze
Katılım
17 Ocak 2024
Mesajlar
1,119
Dahası  
Reaksiyon skoru
351
İsim
An10im1i
En son TLauncher in kendi kaynaklarından java indirterek pc lere virüs bulaştırdığını görmüştüm.Aynı kendi sitesinden java indirmesi yapan SonOyuncu da var sizce SonOyuncu launcherin virüslü olma ihtimali var mı?
Yok demişler exe'yi Process Explorer, autoruns veya virüs total üzerinden kontrol edin.
Eğer dosya boyutu büyük ve içinde hex kodu olarak .... boşluklar varsa büyük ihtimalle verileri alıyordur. Bunu uzmanlar incelese daha iyi.
Dosyanın tam ismi nedir?

Bunlarla karışıyor olabilir
 

Mr.Cody

80+ Bronze
Katılım
1 Haziran 2020
Mesajlar
636
Dahası  
Reaksiyon skoru
151
İsim
Emirhan Ceyran
En son TLauncher in kendi kaynaklarından java indirterek pc lere virüs bulaştırdığını görmüştüm.Aynı kendi sitesinden java indirmesi yapan SonOyuncu da var sizce SonOyuncu launcherin virüslü olma ihtimali var mı?
dostum onu bilmem de craftrise bilgileri salmıştı internete. Aklıma ne zaman e-posta taratmak gelse craftrise'ı görüp delleniyorum.
1709933178062.png

türko sunucularına 0 güven hacım.
 
Katılım
20 Ağustos 2023
Mesajlar
27
Dahası  
Reaksiyon skoru
7
İsim
Pro Heçkır
  • Konu Sahibi Konu Sahibi
  • #6
zaten bu sonoyuncu hakkında sorma sebebim craftrise ninde kendi sitesinden java indirmesi ve insanların mining yapıyor iddiasında bulunmasıydı çünki craftrise de gerçten çok fazla fps sıkıntısı yaşıyordum vanilla minecraftta 200 fps ,lunar clientte 180 fps alıyorken craftrise de en yüksek 70-80 görüyordum ve arada drop yiyordum.
dostum onu bilmem de craftrise bilgileri salmıştı internete. Aklıma ne zaman e-posta taratmak gelse craftrise'ı görüp delleniyorum.
Alıntıyı görüntüle
türko sunucularına 0 güven hacım.
bunu yaşayan çok kişi var hocam craftrise hesabımı silmek istediğime dair destek açtım kaç aydır gören yetkili yok eskiden severek oynadığım sunucunun yan çizmesini ben de hazmedemiyorum.
Mesaj otomatik birleştirildi:

virustotal sonucu burada
 
Son düzenleme:

ReadyorNot

80+ Bronze
Katılım
17 Ocak 2024
Mesajlar
1,119
Dahası  
Reaksiyon skoru
351
İsim
An10im1i
Antivirüsler siz istemediğiniz sürece arşivleri 40-80 mb üzerini taramaz tek dosyada...
Verilerinizi koruyacak kimse yok.
Daha dün Microsoft Rus Hackerlar tarafından kaynak kodları çalındığını duyurdu. Birçok platform sistem açıklarını duyuruyor. Yeni sistemlere köksalmak isteyenler yerini sağlam tutmak istiyor.
Bu son kullanıcılar için tabi ki riskli değil. Onların niyeti daha üst katmanlar. Yine de verileri toplu ele geçirip satmak işlerine geliyor.
Mesaj otomatik birleştirildi:

Asıl soruya dönersek
joesecurity

4 days ago
Joe Sandbox Analysis:

Verdict: MAL
Score: 66/100
Hosts: 185.29.120.106 51.68.188.133 127.0.0.1

HTML Report: https://www.joesandbox.com/analysis/1403146/0/html
PDF Report: https://www.joesandbox.com/analysis/1403146/0/pdf
Executive Report: https://www.joesandbox.com/analysis/1403146/0/executive
Incident Report: https://www.joesandbox.com/analysis/1403146/0/irxml
IOCs: https://www.joesandbox.com/analysis/1403146?idtype=analysisid

Buradaki özetler masum değil.
Themida kullanıyor.
Sistem bilgisi yetmemiş maşallah kimlik bilgilerini derleyip sistem güvenliğine uyuma numarası çekiyor.

Bana şüpheli geldi. Kriptolu ve uzun kodlardan dolayı...
Trafik bir sunucuya da değil.
Hile koruması mı var ki Dll ve Exe derliyor?
Onu geçtim sistemin köklerinden kendine ne inşa ediyor bunlar şüpheli görünür.

Bunun alternatiflerine de bakmak lazım.
Ama çoğu malware algılıyor ve bilgi kaçakçısı olarak bayraklıyor.

Dosya imzası var. Ama trafik ve aksiyon bir arayüz veya ortam hazırlayıcı için biraz fazla kurcalıyor sistemi.

Yazılımı yapan kişi sorun yok mu diyor neye göre açık bir detay sunması lazım.

Tenkit değil. Haberlere de çıkmış ama güvenlik sistemleri bu tip kodlaması olan uygulamaları sevmez.
Mesaj otomatik birleştirildi:

Joe raporundaki kısımlarda trojan ve bootstrap var. Html içinden nersinde ne yapılmış gözatın.

System is w10x64
SecuriteInfo.com.Trojan.005abd811.9569.17117.exe (PID: 6668 cmdline: C:\Users\user\Desktop\SecuriteInfo.com.Trojan.005abd811.9569.17117.exe MD5: B31FEB9D93BA242DBFBFEEAEBC180518)
bootstrap.exe (PID: 7024 cmdline: C:\Users\user\AppData\Roaming\.sonoyuncu\bootstrap.exe MD5: 94BB92418BF395FA8D5AC86AB036F121)
javaw.exe (PID: 6128 cmdline: C:\Users\user\runtime\so-x64\5981b2b6a5315c6c50f5c2473e5a5d11788e3f9e\bin\javaw.exe -version MD5: FFCBA772590F04B63405C9F18C97F4B3)
javaw.exe (PID: 4268 cmdline: -XX:HeapDumpPath=MojangTricksIntelDriversForPerformance_javaw.exe_minecraft.exe.heapdump -Dcom.sun.net.ssl.checkRevocation=false -XX:+UseConcMarkSweepGC -XX:+CMSIncrementalMode -XX:-UseAdaptiveSizePolicy -XX:+DisableAttachMechanism -Dcom.ibm.tools.attach.enable=no -Djna.encoding=UTF-8 -Dlog4j2.formatMsgNoLookups=true -Dr=1 -Xmn256M -Xmx4096M -Djava.net.preferIPv4Stack=true -jar C:\Users\user\AppData\Roaming\.sonoyuncu\launcher.jar -95452474040 C:\Users\user\AppData\Roaming\.sonoyuncu\bootstrap.exe -nb:0.1.38 MD5: FFCBA772590F04B63405C9F18C97F4B3)
cleanup

Sonra temizliyor kendini.
😴

Büyük dosyalarda ......... kısmı boştur ve sizin verilerinizi o boş kısımlara yerleştirir. Bunu wireshark ile gözlemlemek lazım keza kriptoyu da kullanıyor.

Suçlamak için değil ama düşük riskli bir malware algılıyor. Bunu detaylı incelemesini html raporunda görebilir uzmanlar dahasını da çıkarır tersine mühendislikle.

Ekte virustotal davranışları var incelerseniz...
Benden bu kadar.
 

Ekler

  • Screenshot_20240309-132624_Chrome.jpg
    Screenshot_20240309-132624_Chrome.jpg
    477.2 KB · Hit: 45
Son düzenleme:
Katılım
20 Ağustos 2023
Mesajlar
27
Dahası  
Reaksiyon skoru
7
İsim
Pro Heçkır
  • Konu Sahibi Konu Sahibi
  • #8
Hocam virüslü olduğuna dair kanıt bulamadım galiba virüs değil gibi ama tam emin değilim.
 
Son düzenleme:
Yeni mesajlar Yeni Konu Aç      

SON KONULAR

Forum istatistikleri

Konular
1,016,772
Mesajlar
9,182,026
Üyeler
161,132
Son üye
KaizenTaha
Top Bottom