p2u

Троян проверяет сначала на VM

В этой теме 12 сообщений

Нашёл такую тему на английском: Trojan checks for SandBoxIE presence?

Суть:

inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы. Если да, то тогда молчит; если нет, то тогда запускается. Он ничего разрушительного не делает; просто отсылает файл с названием %имякомпа%_%имяпользователя%.plog по адресу ftp://[email protected]. В принципе только те, у которых встроенный брандмауэр Винды стоит должны страдать от этого; даже старый Kerio 2.1.5 реагирует на эту попытку. В данном файле предположительно передаются пароли жертвы, который запустил данный зверь. После этого запускается файл zip. Внутри фотки девушек, и даже не очень красивых.

Зверушка работает в режиме ограниченного пользователя. Топикстартер отсылал в ЛК, но те ничего вредоносного не нашли ("скорее всего запустили как раз в VM"). Только когда топик-стартер открыл файл .exe с hex-редактором (2 картинки предлагаются для специалистов) было видно, что он делает (проверка на VM) и можно делать вывод, что это должно быть что-то нехорошее.

На вирустотал пока следующий результат:

http://www.virustotal.com/analisis/a1c97e7...badb-1247143539

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, интерестно.. Авира опять рулит своей ущербностью)

Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Случай действительно редкий, поэтому я и решил выложить сюда - это урок сразу в нескольких направлениях.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати, наводит на мысль о том что ЛК тестирует присылаемую вирусню на WM/SB.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну так детект виртуалки, давно уже использовался в некоторых малварях, не думаю что из за этого в лк не добавили детект..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый или дятел был не шибко опытный...

А детект вмвари, исдебагпрезент - это уже по умолчанию практически)))

Иногда встречаются проверка на тулзы от Руссиновича и на онлайн-ковырялки (которые выдают что и куда пишет файл).

А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Автор этого чуда, кажется, не особо старался скрывать свои намерения - там в PlainText всё прописано... :rolleyes:

[Офф-топ]: Этот XVI32, видимо, забавный hex editor; даже в Майкрософте рекомендуют его для восстановления документов Office: http://support.microsoft.com/kb/835840/ru [конец офф-топа]

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы.

Утилите год, а детектит.

ScoopyNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Согласен.

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый

А вот на чем работает и как анализирует автодятел это хороший вопрос. Если бы знать после скольких и каких тестов автодятел считает что файл чистый.

Я думал что автодятел анализирует только файлы с вредоносами, а вердикт "файл чист, вируса нет" автодятел выдавать не может и это не входит в его задачи. Я думал что если после анализа файла робот считает его чистым, этот файл передается на анализ дятлу-человеку.

или дятел был не шибко опытный...

При декларируемом конкурсе 100 человек на 1 место дятла это очень плохо, но к сожалению примеры есть.

К сожалению культивируется миф что дятлы это элита и гении. Я думаю что дятлы это очень квалифицированные, но обыкновенные люди, которые тоже могут ошибаться. Такая проблема часто возникает при проверке "фолс или не фолс" и в этом случае вердикт дятла не зазорно и перепорверить, изложив дятлам свои аргументы и попросив их еще раз проанализировать файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C "автодятлом" бывают некоторые странности, ответа из вирлаба при отсылке всяких "не очень стандартных" вредоносных программ нет по двое-трое суток. Не может же компьютер "думать" над анализом столько долго?

Пример всё тот же, 11 июня файл был отправлен в вирлаб обычной почтой, спустя 12 часов отправлен ещё раз с другого ящика, спустя ещё 12 часов - через форму запроса. 14 июня одновременно пришел ответ на все три запроса:

Здравствуйте,

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Email-Worm.Win32.Joleee.ccd

С уважением, ХХХХХХ ХХХХХХХХ

Вирусный аналитик

:P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Автодятел отвечает на письма пользователей с присланными на анализ зловредами, как он подписывается, или людям отвечают только дятлы люди?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это надо спросить у тех, кто вхож в стенки вирлаба. Как правило, в письмах стоит подпись вирусного аналитика. Но не сообщается, кто расковырял файл - сам аналитик или компьютер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!
    • Viktorr
      Потому что для безопасности компьютеров, мало одних лишь антивирусов, нужно применять и другие способы защиты. В сети вообще-то немало данных по этой теме, к примеру вот здесь можете ознакомиться с подробной информацией, как проводить тестирование на проникновение, для обеспечения информационной безопасности  https://codeby.net/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/ . Там полностью на русском языке изложено, как проводить анализ уязвимостей в веб-приложениях, делать стресс-тесты сети и т.д. Так что внимательно изучите данную информацию, и делайте выводы, что нужно предпринять, чтобы надежно защитить свой компьютер.
    • demkd
      А причем тут разрабы, формат известен, проблема во времени необходимом на интеграцию sql в uVS и само совместимостью такого комбайна с PE, со временем вопрос решится буду смотреть.