Перейти к содержанию
p2u

Троян проверяет сначала на VM

Recommended Posts

p2u

Нашёл такую тему на английском: Trojan checks for SandBoxIE presence?

Суть:

inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы. Если да, то тогда молчит; если нет, то тогда запускается. Он ничего разрушительного не делает; просто отсылает файл с названием %имякомпа%_%имяпользователя%.plog по адресу ftp://bernd30519@people-ftp.freenet.de. В принципе только те, у которых встроенный брандмауэр Винды стоит должны страдать от этого; даже старый Kerio 2.1.5 реагирует на эту попытку. В данном файле предположительно передаются пароли жертвы, который запустил данный зверь. После этого запускается файл zip. Внутри фотки девушек, и даже не очень красивых.

Зверушка работает в режиме ограниченного пользователя. Топикстартер отсылал в ЛК, но те ничего вредоносного не нашли ("скорее всего запустили как раз в VM"). Только когда топик-стартер открыл файл .exe с hex-редактором (2 картинки предлагаются для специалистов) было видно, что он делает (проверка на VM) и можно делать вывод, что это должно быть что-то нехорошее.

На вирустотал пока следующий результат:

http://www.virustotal.com/analisis/a1c97e7...badb-1247143539

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Да, интерестно.. Авира опять рулит своей ущербностью)

Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Случай действительно редкий, поэтому я и решил выложить сюда - это урок сразу в нескольких направлениях.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Кстати, наводит на мысль о том что ЛК тестирует присылаемую вирусню на WM/SB.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну так детект виртуалки, давно уже использовался в некоторых малварях, не думаю что из за этого в лк не добавили детект..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый или дятел был не шибко опытный...

А детект вмвари, исдебагпрезент - это уже по умолчанию практически)))

Иногда встречаются проверка на тулзы от Руссиновича и на онлайн-ковырялки (которые выдают что и куда пишет файл).

А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Автор этого чуда, кажется, не особо старался скрывать свои намерения - там в PlainText всё прописано... :rolleyes:

[Офф-топ]: Этот XVI32, видимо, забавный hex editor; даже в Майкрософте рекомендуют его для восстановления документов Office: http://support.microsoft.com/kb/835840/ru [конец офф-топа]

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы.

Утилите год, а детектит.

ScoopyNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Согласен.

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый

А вот на чем работает и как анализирует автодятел это хороший вопрос. Если бы знать после скольких и каких тестов автодятел считает что файл чистый.

Я думал что автодятел анализирует только файлы с вредоносами, а вердикт "файл чист, вируса нет" автодятел выдавать не может и это не входит в его задачи. Я думал что если после анализа файла робот считает его чистым, этот файл передается на анализ дятлу-человеку.

или дятел был не шибко опытный...

При декларируемом конкурсе 100 человек на 1 место дятла это очень плохо, но к сожалению примеры есть.

К сожалению культивируется миф что дятлы это элита и гении. Я думаю что дятлы это очень квалифицированные, но обыкновенные люди, которые тоже могут ошибаться. Такая проблема часто возникает при проверке "фолс или не фолс" и в этом случае вердикт дятла не зазорно и перепорверить, изложив дятлам свои аргументы и попросив их еще раз проанализировать файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

C "автодятлом" бывают некоторые странности, ответа из вирлаба при отсылке всяких "не очень стандартных" вредоносных программ нет по двое-трое суток. Не может же компьютер "думать" над анализом столько долго?

Пример всё тот же, 11 июня файл был отправлен в вирлаб обычной почтой, спустя 12 часов отправлен ещё раз с другого ящика, спустя ещё 12 часов - через форму запроса. 14 июня одновременно пришел ответ на все три запроса:

Здравствуйте,

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Email-Worm.Win32.Joleee.ccd

С уважением, ХХХХХХ ХХХХХХХХ

Вирусный аналитик

:P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker

Автодятел отвечает на письма пользователей с присланными на анализ зловредами, как он подписывается, или людям отвечают только дятлы люди?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Это надо спросить у тех, кто вхож в стенки вирлаба. Как правило, в письмах стоит подпись вирусного аналитика. Но не сообщается, кто расковырял файл - сам аналитик или компьютер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×