Poze cu Fake_Player

Gata, m-am decis, schimb numele in Ciudatu -srl.

 1.png   92.51K   63 downloads
 2.png   73.24K   43 downloads
 3.png   10.07K   42 downloads
 4.png   8.33K   41 downloads


http://www.virustota...fbbb-1281105310

Eu nu văd nimic suspicios. Screenshoturile nu arată nimic ciudat. Doar un player chinezesc/janponez, care cere instalarea unui language pack (absolut logic, din moment ce nu ai acel language pack în sistem).

Reportul nu afișează niciun fișier suspect. Își creează multe fișiere în directorul propriu (nimic ciudat), apar câteva DLLuri în System32 (care sunt legate de language packul instalat, fiind fișiere specifice; din câte văd, unul este pentru japoneză, ceea ce corespunde cu screenshoturile postate).
Apoi se bagă în Start Menu (nimic anormal), se modifică ceva loguri de instalare (normal, se face automat, probabil de către MS Installer), se înregistrează în Flash Player (probabil folosește, pentru că văd că descarcă ceva SWFuri), și apar o groază de fișiere în Temp și Temporary Internet Files (probabil e ceva web based).

La regiștrii am văzut că își bagă în startup un media center, cu numele real (nu se maschează). N-am citit toate modificările din regiștrii, dar la un ochean rapid par a fi legitime (orice aplicație mai de Doamne-ajută face foarte multe modificări în regiștrii).

La conexiuni, se conectează doar la serverele proprii, din câte văd. Mențiunile ”Backdoor functionality” sunt probabil aiureli. Aplicație probabil deschide anumite porturi pentru a aștepta ceva conexiuni (poate update check, sau ceva gen latest news, sau cine știe mai ce afișează ea pe-acolo).

Procese căd că nu creează aiurea, ci doar cele proprii. În schimb accesează ceva servicii, și creează multe mutexuri, dar pe de o parte asta poate fi perfect normal, pe de alta zona aia poate fi ”umflată” artificial de către Sandboxie (adică probabil unele dintre alea sunt cauzate de Sanbox, nu de aplicația pr-zisă).

Detecțiile de pe VT sunt cel mai probabil alarme false:
- McAfee cu Artemis = euristic
- Authentium și F-Prot au detecții copiate (sau au același engine, nu cunosc)
- ClamAV... no comment


Vreun motiv real pentru care îl consideri fake, sau cel puțin dubios?

Da."Mutex" si nu ma refer la raport ci la mine.
Si Avira mi-a returnat "Clean".