Discussione Malware Programma sospetto. Potrebbe trattarsi di un falso positivo?

Ordina per data Ordina commenti per reazioni
M

Mr Blood

Utente Silver
6 Settembre 2016
118
20
14
77
Ultima modifica:
Buonasera a tutti,
Ieri stavo testando alcuni tool per lo sblocco del bootloader su Huawei e mi sono imbattuto in questa repository.

github.com

Chernobylll/Huawei-unlock-bootloader

Huawei-unlock-bootloader. Contribute to Chernobylll/Huawei-unlock-bootloader development by creating an account on GitHub.
github.com github.com

Una volta scaricato ed avviato il file python "unlock.py" al suo interno con Powershell ho ricevuto subito la notifica da Defender per un possibile virus.
Ovvero: Virus:Win32/Floxif.H

Ho provato a caricare il file su Virus Total. Vi allego una foto del risultato.

Ho provato a scansionare più di 3 volte il sistema con Kaspersky e Malwarebytes.
Non è stato rilevato nulla di strano. Inoltre ho provato anche a scansionare il sistema con Kaspersky rescue disk tramite USB.
Zero minacce rilevate, tranne alcune crack di adobe.

Potrebbe effettivamente trattarsi di un falso positivo oppure c'è il rischio di una Backdoor ben nascosta?

Grazie in anticipo a tutti.
 

Allegati

  • 115148644-11b78600-a050-11eb-96c6-aefce2054037.png
    115148644-11b78600-a050-11eb-96c6-aefce2054037.png
    70.2 KB · Visualizzazioni: 32
I file python lock e unlock sono puliti, non ho controllato i vari exe, ma se scarichi quelli dall'sdk ufficiale e poi usi lo script vai tranquillo. E' facile avere falsi positivi con uno zip con dentro python e roba di adb, anche se quelli nello screenshot sono parecchi, quindi ti consiglio di non rischiare con gli eseguibili, tieni solo gli script python da quel repo.
 
  • Mi piace
Reazioni: 0xbro
JunkCoder ha detto:
I file python lock e unlock sono puliti, non ho controllato i vari exe, ma se scarichi quelli dall'sdk ufficiale e poi usi lo script vai tranquillo. E' facile avere falsi positivi con uno zip con dentro python e roba di adb, anche se quelli nello screenshot sono parecchi, quindi ti consiglio di non rischiare con gli eseguibili, tieni solo gli script python da quel repo.
Clicca per espandere...

Per prima cosa ti ringrazio per avermi risposto. Grazie davvero!

Il problema è che io ho già eseguito quel file python. Potrebbe esserci il rischio che uno di quei file exe sia effettivamente infetto?

Inoltre ho passato due ore a controllare ogni PID del mio task manager incrociando le connessioni in uscita con netstat -ano. Non sembra ci sia nessun IP anomalo. Tranne uno: che punta a Cloudflare.
 
Mr Blood ha detto:
Per prima cosa ti ringrazio per avermi risposto. Grazie davvero!

Il problema è che io ho già eseguito quel file python. Potrebbe esserci il rischio che uno di quei file exe sia effettivamente infetto?

Inoltre ho passato due ore a controllare ogni PID del mio task manager incrociando le connessioni in uscita con netstat -ano. Non sembra ci sia nessun IP anomalo. Tranne uno: che punta a Cloudflare.
Clicca per espandere...
Ho dei virus con source code di chernobyl vecchissimi (2001-2003)...già dal nome a me sembrerebbe sospetto...ma non vuol dire che lo sia, qualche dubbio ci sta...i cloudflare sono usati come redirect o per mascherare ip originale/reverse proxy (visto spesso in alcuni tools effettuando delle scansioni entrata/uscita).
 
hck2009 ha detto:
Ho dei virus con source code di chernobyl vecchissimi (2001-2003)...già dal nome a me sembrerebbe sospetto...ma non vuol dire che lo sia, qualche dubbio ci sta...i cloudflare sono usati come redirect o per mascherare ip originale/reverse proxy (visto spesso in alcuni tools effettuando delle scansioni entrata/uscita).
Clicca per espandere...

Quindi cosa dovrei fare per rimuoverlo definitivamente?
Messaggio unito automaticamente:

hck2009 ha detto:
Ho dei virus con source code di chernobyl vecchissimi (2001-2003)...già dal nome a me sembrerebbe sospetto...ma non vuol dire che lo sia, qualche dubbio ci sta...i cloudflare sono usati come redirect o per mascherare ip originale/reverse proxy (visto spesso in alcuni tools effettuando delle scansioni entrata/uscita).
Clicca per espandere...

Inoltre ho aperto una discussione legata a quella repository. Vi allego lo screenshot di una sua risposta.

Lui mi ha scritto che il codice è pulito. Ma ovviamente non posso fidarmi senza controllare.
 

Allegati

  • IMG_20210419_190025.jpg
    IMG_20210419_190025.jpg
    304.7 KB · Visualizzazioni: 19
Mr Blood ha detto:
Quindi cosa dovrei fare per rimuoverlo definitivamente?
Messaggio unito automaticamente:



Inoltre ho aperto una discussione legata a quella repository. Vi allego lo screenshot di una sua risposta.

Lui mi ha scritto che il codice è pulito. Ma ovviamente non posso fidarmi senza controllare.
Clicca per espandere...
ho guardato il codice di "Unlock.py", mi sembra pulito, potrebbe essere che VirusTotal lo segnali poichè vede numerose chiamate a os.system

Provo a indagare meglio anche sugli altri file, ma non ho trovato nulla di strano ad ora.

EDIT: Lol, JunkCoder aveva già fatto ahahah
 
  • Love
  • Mi piace
Reazioni: JunkCoder e Mr Blood

DISCUSSIONI SIMILI

0
Guida Android Application Penetration Testing - Reversing & Static Analysis
  • 3
  • 2K
3
2K
Pentesting e Ethical Hacking Guide e Tools
0xbro
0
Discussione Ufficiale I migliori password manager per il 2024
  • In evidenza
  • 35
  • 3K
35
3K
Privacy Online e Anonimato
ne0h
Top Bottom
Indietro