@ngelos Δημοσ. 22 Μαΐου 2015 Δημοσ. 22 Μαΐου 2015 Όταν ανοίγω το Pc, μετά από λίγο τρέχει μόνο του στο παρασκήνιο ένα αρχείο που λέγεται mdm . Ξέρει κανείς τι είναι αυτό; Χρησιμοποιεί πολύ cpu και ανεβάζει την θερμοκρασία του....
Tmark Δημοσ. 22 Μαΐου 2015 Δημοσ. 22 Μαΐου 2015 Mdm.exe is the Machine Debug Manager, which is used by the Windows NT Option Pack and Microsoft Developer Studio to provide application debugging. When Script Debugging is enabled for Internet Explorer 4.0, the debug manager is initialized whenever Internet Explorer 4.0 is started. The Machine Debug Manager runs as a service and is loaded when your computer starts. If you do not use your computer for debugging purposes, you can safely turn this off. Ελπίζω να βοήθησα.
Moderators Gi0 Δημοσ. 22 Μαΐου 2015 Moderators Δημοσ. 22 Μαΐου 2015 Το προβλημα ειναι πως δεν ξερεις εαν οντως ειναι αυτο το mdm.exe ή κατι το οποιο εχει μετονομαστει σε mdm.exe. Για παραδειγμα, υπαρχει καποια torrent εκδοση του GTA V η οποια περιεχει εναν bitcoin miner. Ο συγκεκριμενος παιρνει το ονομα mdm.exe προκειμενου να αποφυγει τον εντοπισμο του. To hash του sample που εχω απο το συγκεκριμενο ειναι MD5 (mdm) = c6887ec99b5e8b2edf5bb6b6548d8b35 Επισης, δες σε ποιο φακελο ειναι το mdm.exe. Στην περιπτωση του malware για το οποιο μιλαω, ο φακελος ειναι /AppData/Roaming/Skype/Cache (εχε το νου σου πως μπορει να μην ειναι σταθερος ο φακελος που "καθεται"). Τελος, μπορεις να ανεβασεις το mdm.exe που εχεις στο VirusTotal(τα αποτελεσματα του malware που εχω στα χερια μου ειναι αυτα) 1
voldemort Δημοσ. 22 Μαΐου 2015 Δημοσ. 22 Μαΐου 2015 Το προβλημα ειναι πως δεν ξερεις εαν οντως ειναι αυτο το mdm.exe ή κατι το οποιο εχει μετονομαστει σε mdm.exe. Για παραδειγμα, υπαρχει καποια torrent εκδοση του GTA V η οποια περιεχει εναν bitcoin miner. Ο συγκεκριμενος παιρνει το ονομα mdm.exe προκειμενου να αποφυγει τον εντοπισμο του. To hash του sample που εχω απο το συγκεκριμενο ειναι MD5 (mdm) = c6887ec99b5e8b2edf5bb6b6548d8b35 To MD5 ομως ειναι διαφορετικο.Οποιοδηποτε anti-malware θα το εντοπισει. Αλλωστε και τα 2 δεν μπορουνε να ειναι λογικα στο ιδιο location. Της ms ειναι εδω. C:\Windows\System32 Όταν ανοίγω το Pc, μετά από λίγο τρέχει μόνο του στο παρασκήνιο ένα αρχείο που λέγεται mdm . Ξέρει κανείς τι είναι αυτό; Χρησιμοποιεί πολύ cpu και ανεβάζει την θερμοκρασία του.... Δωσε μας λιγες πληροφοριες παραπανω.Πρωτα πες μας που εντοπιζεται. Δευτερον τρεξε το malwarebytes και πες μας αν εντοπισε κατι.
Moderators Gi0 Δημοσ. 22 Μαΐου 2015 Moderators Δημοσ. 22 Μαΐου 2015 To MD5 ομως ειναι διαφορετικο.Οποιοδηποτε anti-malware θα το εντοπισει. Προφανως και ειναι διαφορετικο απο το γνησιο mdm.exe, το οποιο ομως δεν σημαινει αυτοματα πως εντοπιζεται απο ολα τα antimalware, ειδικα εαν εχει περαστει προσφατα απο καποιον custom packer.Μην βασιζεστε απλα σε καποιο antimalware και ειδικα σε ενα και μοναδικο antimalware, οποιο και εαν ειναι αυτο. Αλλωστε και τα 2 δεν μπορουνε να ειναι λογικα στο ιδιο location. Της ms ειναι εδω. C:\Windows\System32 Γι αυτο και εδωσα το path και του ειπα να το ελεγξει
voldemort Δημοσ. 22 Μαΐου 2015 Δημοσ. 22 Μαΐου 2015 Προφανως και ειναι διαφορετικο απο το γνησιο mdm.exe, το οποιο ομως δεν σημαινει αυτοματα πως εντοπιζεται απο ολα τα antimalware, ειδικα εαν εχει περαστει προσφατα απο καποιον custom packer.Μην βασιζεστε απλα σε καποιο antimalware και ειδικα σε ενα και μοναδικο antimalware, οποιο και εαν ειναι αυτο. Γι αυτο και εδωσα τον path και του ειπα να το ελεγξει To path μετα το εβαλες διοτι δεν το προσεξα πριν.οκ. Oσο για καποιον packer που ανεφερες λογικα ολα τα anti-malware ψαχνουν ονομα+MD5 ακομη και packer(themida,VMProtect κλπ)να χρησιμοποιησε το MD5 παλι θα ειναι διαφορετικο.Αυτο εγκειται στην εταιρεια malware κατα ποσο εχει ενημερωμενη την βαση της στα τελευταια MD5. Eαν π.χ ειχε ενημερωθει η βαση για mdm.exe(axyMD5)για ιο την προηγουμενη εβδομαδα,και εχθες καποιος εκανε packing χωρις η εταιρεια σημερα να ενημερωσει(λογικα επειδη θελει χρονο),τοτε ναι θα δυσκολευτει να εντοπισει τον ιο. Αν και οποιοδηποτε MD5 χωρις της ms θα επρεπε ενα σωστο anti-malware παλι να το εντοπισει ως υποπτο.
Moderators Gi0 Δημοσ. 22 Μαΐου 2015 Moderators Δημοσ. 22 Μαΐου 2015 To path μετα το εβαλες διοτι δεν το προσεξα πριν.οκ. Oσο για καποιον packer που ανεφερες λογικα ολα τα anti-malware ψαχνουν ονομα+MD5 ακομη και packer(themida,VMProtect κλπ)να χρησιμοποιησε το MD5 παλι θα ειναι διαφορετικο.Αυτο εγκειται στην εταιρεια malware κατα ποσο εχει ενημερωμενη την βαση της στα τελευταια MD5. Eιχα λογο που ειπα custom packer. Και θα εκπλαγεις ποσο δεν κανουν αυτο το λογικο το οποιο αναφερεις ακομα και με τους γνωστους packers, καλη ωρα thermida κλπ. Γι αυτο υποστηριζω πως δεν πρεπει να βασιζεται κανεις σε ενα και μοναδικο εργαλειο, οποιο και εαν ειναι αυτο. Το uploading στο VirusTotal ειναι μια πολυ καλη αρχη. 1
voldemort Δημοσ. 22 Μαΐου 2015 Δημοσ. 22 Μαΐου 2015 Εχοντας κανεις το MD5 της εταιρειας και με ενα σωρο Free MD5 checker μπορει κανεις να βρει ακομη και απο μονος παρα πολλα. Το Virustotal ναι οντως ειναι μια καλη αρχη. Παντως εαν ειναι miner το συγκεκριμενο σιγουρα θα εντοπιζεται στα appdata locations οπου δειχνει ξεκαθαρα οτι κατι δεν παει καλα. Γι'αυτο και ανεφερα οτι οποιοδηποτε σωστο anti-malware χωρις το md5 της εταιρειας θα επρεπε να χτυπαει και οχι να ψαχνει απολειστικα καποιο συγκεκριμενο. Τελος επειδη τα κρουσματα των packers ηταν πολλα τα τελευταια χρονια στο οτι πολλοι hackers χρησιμοποιουσανε πολλα σπαμενα εξ'αυτων(εννοω Themida,VMProtect)οι εταιρειες εχουν βαλει watermark μεσα στο License ωστε εαν καποιος κανει ενα αρχειο Packing με σπασμενο protector τοτε το αρχειο που εγινε packing το βγαζει ως Trojan. Eαν παλι κανεις packing Io με νομιμη αδεια εκει θα βρεις μπελα.Διοτι ξερουν ποιος εισαι (εκτος κι αν εχεις δηλωσει οτι το License εχει διαρρευσει για τον xy λογο).
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα