Prica pocinje od Ivan-ovog statusa:
Prica je dosla do toga da je HCREADER.exe izvrsni fajl koji se nalazi na rfzo.rs sajtu maliciozan.
Konkretno, postoje tehnike koje blokiraju izvrsavanje file-a ili delimicno izvrasavanje, ukoliko je detektovan neki sistem (proces) koji sluzi za analiziranje file-ova (cime mozemo da spoznamo jel file maliciozan ili ne, bez da ugrozimo sistem), taj proces moze biti EDR, sandbox ili neko trece resenje ciji je cilj da simulira ponasanje korisnika i da prikupi sve sta taj proces radi.
Cilj ovakvog virusa je teza detekcija.
Dokazi ovoj tvrdnji su sledeci:
1. Sam file nije maliciozan kod vecina AV kuca:
![[Image: image.png]](https://i.postimg.cc/50VkMqM0/image.png)
2. Pod ponasanjem file-a, VT kaze sledece:
![[Image: image.png]](https://i.postimg.cc/3wJFjS72/image.png)
3. kada sagledamo sta se desava kada se file startuje, na slici ispod, vidimo da file HCreader.exe(1) poziva jos jedan file da se izvrsi (2) koji je u ovom slucaju maliciozan (3)
![[Image: image.png]](https://i.postimg.cc/J048RWWG/image.png)
File je razvila kuca NetSet d.o.o.
kontaktirani su da daju komentar, naravno ostali smo bez istog.
Takodje su (doduse na twiteru jedino koliko znam) kontaktirani i drzavni organi, al` bez glasa i traga ....
NAPOMENA! analiza je radjena iskljucivo preko online dostupnih servisa, zbog toga su moguci pogresni zakljuci.
Zamolio bih da se ukljuci vise ljudi, pogotovu koji su iskusni u istrazivanju virusa, da analiziraju ovaj file i potvrde sumnju...
Inace, file se nalazi na: https://www.rfzo.rs/index.php/osiguranal...a/kzo-down
I sta je jos zanimljivo, exe file se nalazi u instalaciji za linux sisteme
Kako je potencijalno doslo do ovoga?
1. napadnut rfzo sajt i postavljen virus
2. unutar rfzo-a je neko podmetnuo maliciozan file
3. NetSet kuca koja je razvila app. je imala breach i napadaca je uspeo da ubaci malware u njihov sistem koji ubacuje maliciozne delove code-a u njihove produkte (sumnjam da oni licno ucestvuju u tome)
4. Virus Total izbacuje anomalije i da je cela ova prica false flag
Quote:Ovo nije kul, trojanac sa targetiranom kampanjom #Bezbednost #Privatnost #Virus #Malware #еУправа #Neshta #Srbija #Serbia
![[Image: image.png]](https://i.postimg.cc/0QHv5B5n/image.png)
Prica je dosla do toga da je HCREADER.exe izvrsni fajl koji se nalazi na rfzo.rs sajtu maliciozan.
Konkretno, postoje tehnike koje blokiraju izvrsavanje file-a ili delimicno izvrasavanje, ukoliko je detektovan neki sistem (proces) koji sluzi za analiziranje file-ova (cime mozemo da spoznamo jel file maliciozan ili ne, bez da ugrozimo sistem), taj proces moze biti EDR, sandbox ili neko trece resenje ciji je cilj da simulira ponasanje korisnika i da prikupi sve sta taj proces radi.
Cilj ovakvog virusa je teza detekcija.
Dokazi ovoj tvrdnji su sledeci:
1. Sam file nije maliciozan kod vecina AV kuca:
2. Pod ponasanjem file-a, VT kaze sledece:
3. kada sagledamo sta se desava kada se file startuje, na slici ispod, vidimo da file HCreader.exe(1) poziva jos jedan file da se izvrsi (2) koji je u ovom slucaju maliciozan (3)
File je razvila kuca NetSet d.o.o.
kontaktirani su da daju komentar, naravno ostali smo bez istog.
Takodje su (doduse na twiteru jedino koliko znam) kontaktirani i drzavni organi, al` bez glasa i traga ....
NAPOMENA! analiza je radjena iskljucivo preko online dostupnih servisa, zbog toga su moguci pogresni zakljuci.
Zamolio bih da se ukljuci vise ljudi, pogotovu koji su iskusni u istrazivanju virusa, da analiziraju ovaj file i potvrde sumnju...
Inace, file se nalazi na: https://www.rfzo.rs/index.php/osiguranal...a/kzo-down
I sta je jos zanimljivo, exe file se nalazi u instalaciji za linux sisteme
Quote:4. КЗО Читач за Linux оперативне системе
- За Linux оперативне системе
Kako je potencijalno doslo do ovoga?
1. napadnut rfzo sajt i postavljen virus
2. unutar rfzo-a je neko podmetnuo maliciozan file
3. NetSet kuca koja je razvila app. je imala breach i napadaca je uspeo da ubaci malware u njihov sistem koji ubacuje maliciozne delove code-a u njihove produkte (sumnjam da oni licno ucestvuju u tome)
4. Virus Total izbacuje anomalije i da je cela ova prica false flag