Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Trojan:Win32/Wacatac.H!ml #74

Open
mztd006 opened this issue Aug 11, 2023 · 12 comments
Open

Trojan:Win32/Wacatac.H!ml #74

mztd006 opened this issue Aug 11, 2023 · 12 comments

Comments

@mztd006
Copy link

mztd006 commented Aug 11, 2023

ویندوز دیفندر روی SecureDNSClient.dll آلارم میده . (البته false alarm هست)

Screenshot 2023-08-11 120641
@msasanmh
Copy link
Owner

همونطور که توی صفحه اول برنامه نوشتم بعضی آنتی‌ویروس‌ها ممکنه گاهی به WinDivert که توسط GoodbyeDPI استفاده میشه گیر بدن.
همه منابع مثل همین WinDivert و بقیه داخل dll برنامه قرار دارن.
این WinDivert کارش ایجاد تغییر در پکت‌های ارسالی هست، حالا اگه یه برنامه استفاده نادرست ازش بکنه اونوقت آره خطرناک بحساب میاد.
اما من سورس GoodbyeDPI رو مطالعه کردم و دیدم تمام تغییراتش فقط برای دور زدن سانسور اینترنت هستش.
باید بدونی برنامه SDC کاملا متن‌بازه و از همه برنامه‌های دیگه‌ای که استفاده میکنه اونا هم متن‌باز هستن، درنتیجه هر برنامه‌نویسی میتونه سلامت برنامه رو تایید کنه.
شاید در آینده یه نظر سنجی بذارم در مورد اینکه GoodbyeDPI بمونه یا حذف بشه.
چون تنها راه حل کردن این مشکل حذف GoodbyeDPI هستش.

@msasanmh
Copy link
Owner

خب این پیام wacatac برای اینه که آنتی‌ویروس میگه فایل dll داره فایل‌هایی رو کپی میکنه.
که خب باید این کار انجام بشه تا برنامه‌های
dnslookup.exe, dnsproxy.exe, dnscrypt-proxy.exe, windivert.dll, windivert_x64.dll, GoodbyeDPI.exe
و دو تا فایل کانفیگ برای dnscrypt از داخلش اکسترکت بشن.
الان به این گیر داده و گاهی هم به Windivert گیر میده.
حقیقتش خسته شدم دیگه، تا الان ۴ نفر این موضوع آنتی‌ویروس رو گزارش کردن.
اولی رو به یه شکلی میتونم حل کنم.
اما در مورد WinDivert کلا GoodbyeDPI باید حذف بشه.

@mztd006
Copy link
Author

mztd006 commented Aug 11, 2023

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

@msasanmh
Copy link
Owner

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

الان شما میدونی false positive چی هستش.
خیلی‌ها هستن نمیدونن، فقط کافیه آنتی‌ویروس شون یه آلارم بده.
حالا فعلا سعی میکنم ... ببینم میتونم روشی پیدا کنم تا احتمال بروز این آلارم‌ها رو کاهش بدم.

@nonbarbari
Copy link

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

الان شما میدونی false positive چی هستش. خیلی‌ها هستن نمیدونن، فقط کافیه آنتی‌ویروس شون یه آلارم بده. حالا فعلا سعی میکنم ... ببینم میتونم روشی پیدا کنم تا احتمال بروز این آلارم‌ها رو کاهش بدم.

ن مشکل اینه که ایشون دفاع از فایل ویندوز رو فعال کرده و پوشه برنامه رو جایی قرار دادن که زیر مجموعه دایرکتوری محافظت شده هست . برای همین هر برنامه ای سعی کنه فایل های اون دایرکتوری رو تغییر بده با یاز کنه یا حذف یا کپی یا جا به جا کنه این آلارم رو میگیره

@msasanmh
Copy link
Owner

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

الان شما میدونی false positive چی هستش. خیلی‌ها هستن نمیدونن، فقط کافیه آنتی‌ویروس شون یه آلارم بده. حالا فعلا سعی میکنم ... ببینم میتونم روشی پیدا کنم تا احتمال بروز این آلارم‌ها رو کاهش بدم.

ن مشکل اینه که ایشون دفاع از فایل ویندوز رو فعال کرده و پوشه برنامه رو جایی قرار دادن که زیر مجموعه دایرکتوری محافظت شده هست . برای همین هر برنامه ای سعی کنه فایل های اون دایرکتوری رو تغییر بده با یاز کنه یا حذف یا کپی یا جا به جا کنه این آلارم رو میگیره

مرسی، نمی‌دونستم.

@nonbarbari
Copy link

AdguardTeam/dnsproxy#352

@msasanmh
Copy link
Owner

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه.
نمیدونم "شبهات" رو درست نوشتم یا نه

@nonbarbari
Copy link

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

@msasanmh
Copy link
Owner

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

تو پیام آنتی‌ویروس رو براش نذاشتی، پیام فایروال رو گذاشتی که dnsproxy رو بلاک کرده.
اونم گفت دفندر پیش‌فرض outbound رو بلاک میکنه باید خودت دستی بهش اجازه بدی.

@nonbarbari
Copy link

nonbarbari commented Sep 19, 2023
edited

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

تو پیام آنتی‌ویروس رو براش نذاشتی، پیام فایروال رو گذاشتی که dnsproxy رو بلاک کرده. اونم گفت دفندر پیش‌فرض outbound رو بلاک میکنه باید خودت دستی بهش اجازه بدی.

ویندوز کلا همین یه پیام رو داد اطلاعات دیگه ای هم نداد
الان کودوم قسمت برنامه باید کار نکنه چون همه چیزش کار میکنه با این که هنوز بلاکه
و این که موقعی که این پیام رو داد گزینه ای واسه انتخاب نداشت
فایروال ویندوز هم اصلا فعال نیست فایروال انتی ویروس فعاله
تو آنتی ویروس هم کل برنامه رو زدم که کاری به کارش نداشته باشه

@msasanmh
Copy link
Owner

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

تو پیام آنتی‌ویروس رو براش نذاشتی، پیام فایروال رو گذاشتی که dnsproxy رو بلاک کرده. اونم گفت دفندر پیش‌فرض outbound رو بلاک میکنه باید خودت دستی بهش اجازه بدی.

ویندوز کلا همین یه پیام رو داد اطلاعات دیگه ای هم نداد
الان کودوم قسمت برنامه باید کار نکنه چون همه چیزش کار میکنه با این که هنوز بلاکه
و این که موقعی که این پیام رو داد گزینه ای واسه انتخاب نداشت
فایروال ویندوز هم اصلا فعال نیست فایروال انتی ویروس فعاله
تو آنتی ویروس هم کل برنامه رو زدم که کاری به کارش نداشته باشه

اگه outbound بلاک باشه برنامه داخل PC کار میکنه اما دیگه رو شبکه share نمیشه

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@msasanmh @nonbarbari @mztd006