Potencjalnie złośliwe oprogramowanie.

[PROTON]

Zaalarmowany systemami bezpieczeństwa przy próbie ściągnięcia plików, postanowiłem zrobić automatyczną analizę plików wykonywalnych, o to wynik:

mkAVRCalculator.exe https://www.virustotal.com/pl/file/f93e ... 456407793/

MkBootLoader.exe https://www.virustotal.com/pl/file/8f30 ... 456407846/

Trzeba się temu bliżej przyjrzeć i zrobić szczegółową analizę.

[inż.wielki]

I teraz zagadka, albo tak dobrze napisany wirus ze tylko 1 antywir go łapie albo tak słabo napisany kod

[j23]

//"Kompilator oszukasz, debugger oszukasz, ale antywira nie oszukasz"//

[squeez]

Zapewne jest tak, że jakieś biblioteki które zostały użyte w sofcie wykorzystywane są przez malware i często tak bywa właśnie, że jest kwalifikowane jako wirus itp. sam jak z 15 lat temu pisałem jakieś proste rzeczy w delphi to czasami właśnie takie były skutki. Zwłaszcza jak robiło się coś z gniazdami i łączeniem z netem, a przypominam było to 15 lat temu od tego czasu ilość złośliwego oprogramowania wzrosła wykładniczo a co za tym idzie "podejrzanych" fragmentów kodu również.

Nie doszukiwałbym się teorii spiskowych itp.

[Antystatyczny]

Nie ma co się doszukiwać teorii spiskowych, bo takowych nie ma Nie tylko te programy zgłaszają się jako potencjalnie nie do końca bezpieczne, inne również powodują różne alarmy i alarmiki. Na ogół są to niewielkie programy, które niekoniecznie znane są na całym świecie. Ostatnio miałem jakiś lcd font creator, który pod windowsem powodował alarm. przypuszczam, że programy wykrywające wirusy itp są bezlitosne... "wybierasz Pan wygodę, czy bezpieczeństwo?"

[PROTON]

Wstępna ręczna analiza

Po uruchomieniu programu mkAVRCalculator.exe, program łączy się z serwerem http://www.atnel.pl i pobiera dwa obrazki:
http://www.atnel.pl/1_rek/tme/300x250_M ... ulator.jpg
http://atnel.pl/1_rek/tme/720x90_MkAvrCalculator.jpg

Podczas pracy z programem, kliknięcie w zakładkę narzędzia, powoduje wywołanie url:
http://www.atnel.pl/mkavrcalcPion_ads.html

którego cała transmisja TCP wygląda tak:

Kod: Zaznacz cały

GET http://www.atnel.pl/mkavrcalcPion_ads.html HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, application/x-silverlight, */*
Accept-Language: pl
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET4.0C; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Proxy-Connection: Keep-Alive
Host: www.atnel.pl

HTTP/1.0 200 OK
Server: nginx/1.6.2
Date: Tue, 01 Mar 2016 08:33:20 GMT
Content-Type: text/html
Vary: Accept-Encoding
Accept-Ranges: bytes
Content-Length: 261
X-Cache: MISS from xxx
X-Cache-Lookup: MISS from xxx
Via: 1.0 xxx
Connection: keep-alive
Proxy-Connection: keep-alive

<html><body>
<a href="http://www.tme.eu/en/katalog/intelligent-displays-modules_113439/?utm_source=MkAvrCalculator&utm_medium=banner&utm_campaign=smart_displays_08.01.2016">
<img src="/1_rek/tme/300x250_MkAvrCalculator.jpg" alt="TME.pl" /></a>
</body></html>


Wnioski

Nie stwierdziłem aby program POST'em lub GET'em wysyłał jakiekolwiek dane z komputera na serwer, jedyne informacje jakie firma Atnel pozyskuje to z jakiego adresu IP, kiedy i ile razy był uruchamiany program.

W aplikacji znajduje się też mały błąd, kliknięcie reklamy TME tantalum capicators powoduje otwarcie strony z TME Smart Displays, natomiast kliknięci w banner TME Smart Displays powoduje otwarcie strony TME tantalum capicators.

Wykrywanie mkAVRCalculator.exe przez programy antywirusowe jako złośliwego oprogramowania, spowodowane jest wykorzystywaniem przez program mechanizmów do pobierania obrazków z zewnętrznego serwera. Spora część złośliwego oprogramowania wykorzystuje ten mechanizm, do pobierania wykonywalnego złośliwego kodu zaszytego w obrazkach.

[matty24]

Spróbujcie pobrać z dobreprogramy np. K-lite codec pack albo inny program z ich serwera to zaraz Wam przeglądarka zablokuje pobieranie. Od kiedy wprowadzili asystenta pobierania to nawet jak go nie używasz to i tak często zdarzają się takie alerty. Niby taki wielki serwis a na czarnej liście wylądował.

[Antystatyczny]

Nic dziwnego, skoro ten asystent usiłuje doinstalować jakieś niechciane badziewia i trzeba baaardzo uważać, by sobie czegoś nie doinstalować USUWAJĄC ptaszek z jakiejś pozycji na liście. Osobiście nie korzystam z tamtego serwisu właśnie z powodu asystenta pobierania.