Перейти к содержанию
p2u

Троян проверяет сначала на VM

Recommended Posts

p2u

Нашёл такую тему на английском: Trojan checks for SandBoxIE presence?

Суть:

inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы. Если да, то тогда молчит; если нет, то тогда запускается. Он ничего разрушительного не делает; просто отсылает файл с названием %имякомпа%_%имяпользователя%.plog по адресу ftp://[email protected]. В принципе только те, у которых встроенный брандмауэр Винды стоит должны страдать от этого; даже старый Kerio 2.1.5 реагирует на эту попытку. В данном файле предположительно передаются пароли жертвы, который запустил данный зверь. После этого запускается файл zip. Внутри фотки девушек, и даже не очень красивых.

Зверушка работает в режиме ограниченного пользователя. Топикстартер отсылал в ЛК, но те ничего вредоносного не нашли ("скорее всего запустили как раз в VM"). Только когда топик-стартер открыл файл .exe с hex-редактором (2 картинки предлагаются для специалистов) было видно, что он делает (проверка на VM) и можно делать вывод, что это должно быть что-то нехорошее.

На вирустотал пока следующий результат:

http://www.virustotal.com/analisis/a1c97e7...badb-1247143539

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Да, интерестно.. Авира опять рулит своей ущербностью)

Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Случай действительно редкий, поэтому я и решил выложить сюда - это урок сразу в нескольких направлениях.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Кстати, наводит на мысль о том что ЛК тестирует присылаемую вирусню на WM/SB.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну так детект виртуалки, давно уже использовался в некоторых малварях, не думаю что из за этого в лк не добавили детект..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый или дятел был не шибко опытный...

А детект вмвари, исдебагпрезент - это уже по умолчанию практически)))

Иногда встречаются проверка на тулзы от Руссиновича и на онлайн-ковырялки (которые выдают что и куда пишет файл).

А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Автор этого чуда, кажется, не особо старался скрывать свои намерения - там в PlainText всё прописано... :rolleyes:

[Офф-топ]: Этот XVI32, видимо, забавный hex editor; даже в Майкрософте рекомендуют его для восстановления документов Office: http://support.microsoft.com/kb/835840/ru [конец офф-топа]

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы.

Утилите год, а детектит.

ScoopyNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Согласен.

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый

А вот на чем работает и как анализирует автодятел это хороший вопрос. Если бы знать после скольких и каких тестов автодятел считает что файл чистый.

Я думал что автодятел анализирует только файлы с вредоносами, а вердикт "файл чист, вируса нет" автодятел выдавать не может и это не входит в его задачи. Я думал что если после анализа файла робот считает его чистым, этот файл передается на анализ дятлу-человеку.

или дятел был не шибко опытный...

При декларируемом конкурсе 100 человек на 1 место дятла это очень плохо, но к сожалению примеры есть.

К сожалению культивируется миф что дятлы это элита и гении. Я думаю что дятлы это очень квалифицированные, но обыкновенные люди, которые тоже могут ошибаться. Такая проблема часто возникает при проверке "фолс или не фолс" и в этом случае вердикт дятла не зазорно и перепорверить, изложив дятлам свои аргументы и попросив их еще раз проанализировать файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

C "автодятлом" бывают некоторые странности, ответа из вирлаба при отсылке всяких "не очень стандартных" вредоносных программ нет по двое-трое суток. Не может же компьютер "думать" над анализом столько долго?

Пример всё тот же, 11 июня файл был отправлен в вирлаб обычной почтой, спустя 12 часов отправлен ещё раз с другого ящика, спустя ещё 12 часов - через форму запроса. 14 июня одновременно пришел ответ на все три запроса:

Здравствуйте,

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Email-Worm.Win32.Joleee.ccd

С уважением, ХХХХХХ ХХХХХХХХ

Вирусный аналитик

:P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker

Автодятел отвечает на письма пользователей с присланными на анализ зловредами, как он подписывается, или людям отвечают только дятлы люди?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Это надо спросить у тех, кто вхож в стенки вирлаба. Как правило, в письмах стоит подпись вирусного аналитика. Но не сообщается, кто расковырял файл - сам аналитик или компьютер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Vvvyg
    • akoK
      А обсуждение еще живое или форум по UVS переехал?
    • PR55.RP55
      Тема:  https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006 Как видно применён твик: № 18 В итоге по логу FRST видим: HKLM\...\Policies\Explorer: [DisallowRun] 0
      HKLM\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0 т.е. мало того, что от uVS   на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых  НЕ было изначально. т.е. мусор. uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи. Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме. Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы. Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д. Какова роль uVS  ? 
    • PR55.RP55
      Пока форум не работал по ошибкам, предложениям, замечаниям публиковал здесь: https://forum.esetnod32.ru/forum8/topic15904/?PAGEN_1=5 ------------ ------------
      Образ в теме:  https://forum.esetnod32.ru/messages/forum6/topic16189/message110932/#message110932    
    • santy
      Форум открыт для доступа и комментариев и предложений. Можно продолжить по  работе с uVS здесь.
×