Wstępna ręczna analizaPo uruchomieniu programu mkAVRCalculator.exe, program łączy się z serwerem
http://www.atnel.pl i pobiera dwa obrazki:
http://www.atnel.pl/1_rek/tme/300x250_M ... ulator.jpg http://atnel.pl/1_rek/tme/720x90_MkAvrCalculator.jpgPodczas pracy z programem, kliknięcie w zakładkę narzędzia, powoduje wywołanie url:
http://www.atnel.pl/mkavrcalcPion_ads.html którego cała transmisja TCP wygląda tak:
Kod: Zaznacz cały
GET http://www.atnel.pl/mkavrcalcPion_ads.html HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, application/x-silverlight, */*
Accept-Language: pl
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET4.0C; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Proxy-Connection: Keep-Alive
Host: www.atnel.pl
HTTP/1.0 200 OK
Server: nginx/1.6.2
Date: Tue, 01 Mar 2016 08:33:20 GMT
Content-Type: text/html
Vary: Accept-Encoding
Accept-Ranges: bytes
Content-Length: 261
X-Cache: MISS from xxx
X-Cache-Lookup: MISS from xxx
Via: 1.0 xxx
Connection: keep-alive
Proxy-Connection: keep-alive
<html><body>
<a href="http://www.tme.eu/en/katalog/intelligent-displays-modules_113439/?utm_source=MkAvrCalculator&utm_medium=banner&utm_campaign=smart_displays_08.01.2016">
<img src="/1_rek/tme/300x250_MkAvrCalculator.jpg" alt="TME.pl" /></a>
</body></html>
Nie stwierdziłem aby program POST'em lub GET'em wysyłał jakiekolwiek dane z komputera na serwer, jedyne informacje jakie firma Atnel pozyskuje to z jakiego adresu IP, kiedy i ile razy był uruchamiany program.
W aplikacji znajduje się też mały błąd, kliknięcie reklamy
TME tantalum capicators powoduje otwarcie strony z
TME Smart Displays, natomiast kliknięci w banner
TME Smart Displays powoduje otwarcie strony
TME tantalum capicators.
Wykrywanie mkAVRCalculator.exe przez programy antywirusowe jako złośliwego oprogramowania, spowodowane jest wykorzystywaniem przez program mechanizmów do pobierania obrazków z zewnętrznego serwera. Spora część złośliwego oprogramowania wykorzystuje ten mechanizm, do pobierania wykonywalnego złośliwego kodu zaszytego w obrazkach.
Nie tylko te programy zgłaszają się jako potencjalnie nie do końca bezpieczne, inne również powodują różne alarmy i alarmiki. Na ogół są to niewielkie programy, które niekoniecznie znane są na całym świecie. Ostatnio miałem jakiś lcd font creator, który pod windowsem powodował alarm. przypuszczam, że programy wykrywające wirusy itp są bezlitosne... "wybierasz Pan wygodę, czy bezpieczeństwo?"