Ero in esecuzione Yara, il modello che combina il coltellino svizzero per i ricercatori di malware su Windows 10.
Ho eseguito una scansione utilizzando le regole di Yara Rules dalle regole YARA Regole di Github e MalwareConfig.
Mi sono imbattuto in queste DLL con firme che corrispondevano ai privilegi di escalation e ai keylogger.
- avicap32.dll
- mscorlib.dll
- AcGenerl.dll
- accessibilitycpl.dll
- adalsql.dll
- Atbroker.exe
- etc
Per me ha senso AcGenerl.dll ha una firma di keylogger perché gestisce la tastiera ma MsCorlib.dll? non ha senso perché ha queste firme.
Qualche spiegazione del motivo per cui alcune di queste DLL di Windows aumentano i flag? (Non intruso perché le mie regole sono state rilevate ma in particolare i programmi e le librerie)
[Modifica] Virus Total dice anche che questi file non sono infettati da malware o da un rootkit.