• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

herakty

Site de Análise de files suspeitos e uma análise de virus corrente

7 mensagens neste tópico

Virus Total

VirusTotal é um serviço que analisa arquivos suspeitos e proporciona uma rápida detecção de vírus, worms, cavalos de tróia, e todos os tipos de arquivos maliciosos detectados por vários mecanismos de antivírus

http://www.virustotal.com/pt/

Análise de um recente trojan downloader... de um email que anda agora a navegar e a maioria dos AV´s não o conhece como podem ver no relatório que vou mostrar

requer desconhecimento e engenharia social, mas é novo e envolve diversas técnicas que vou abordar.. achei interessante relatar aqui o resultado das minhas análises

um exemplo de um trojan downloader e a facilidade com que o comum dos mortais o apanha... a mairoria das pessoas cai nisto, caso contrário eu não tinha recebido o seguinte

tenham em atenção que a maioria das pessoas que usam a net (a maioria das pessoas com contratos de ISP)não entendem bem as extensões de ficheiros e quando vêm um file assim Fotos.zip.exe, não percebem que não é um zip mas sim um executável

emailPolicia da Italia destruindo Lamborghin

Vc viu o policial destruindo a Lamborghini na Italia?

Inacreditavel!! rsrsrsrs

Da uma olhada no video e nas fotos...

Anexos: Lamborghini.zip (192,2 kB)

no URL debaixo do lamborghini estava isto:

http://is.gd/5sqAO

com:

wget -m is.gd/5sqAO

saquei todo o site e analisei detalhadamente os ficheiros para analisar e verifiquei que há uma série de reencaminhamentos (técnicas de proxy para despistar alguns) mas com os conhecimentos certos chegamos ao destino... mas quando chegamos ao destino não chegamos ao criminoso... chegamos a um site de noticias russo que foi crackado e foi lá colocado o trojan

http:\\joranalnoticias.pisem.su/Fotos.zip.exe

acho fabulosa a analise que este site faz e é a motivação deste post... aqui podem ver esta análise a um ficheiro que mts AV´s não conhecem ainda (poderão ver quais são os AV´s mais rapidos em update de DAT files)

Análise com reverse engeneiring do trojan

http://www.virustotal.com/pt/analisis/999d651aeef0960bc43fdfb5405d331b81733464f1443f3dcd44e0aeec1317b5-1261147678

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

lool, o meu antivírus logo apitou  :P ... O que me enerva mais é que estes mails já começam a ser frequentes, no entanto as pessoas continuam a cair nestas balelas. É sempre importante prevenir. Ainda não tinha conhecimento que este andava por aí.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

os PC´s e a internet são usados por quase toda a gente hoje... e da mesma forma que não dominas tudo no teu carro a maioria das pessoas usa o PC por necessidade e não querem saber os detalhes...

e é muito normal um gajo receber emails de contactos... ESTE VEIO DE UM CONTACTO MEU... muita gente pensa que é alguem a querer lhe enviar fotos e não sabe que se pode esconder URLs

e depois não sabem ver que um file.zip.exe é um executável e não um zip

e a tecnologia deste virus é também aplicada a worms (junta-se um exploit) e ele nem pergunta nada... instala-se e prontos

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Já conhecia o virustotal. :P

Em relação à lista dos antivirus que detectam ou não o trojan tenho a dizer que está desactualizada porque o meu NOD32 detectou logo a virose, nem deixou sacar. :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu por enquanto não recebi esse email, mas se o kn0ppix diz que o NOD32 dele o detectou o meu não lhe ficará atrás... lololol Alem disso eu conheço essas extensões e sou muito cuidadoso com os email que recebo... :)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Avira AntiVir também apita logo!

quando eu detectei e analisei estava mesmo quente como podem ver na análise... o vírus total não está desactualizado... vocês viram foi um processo em tempo real de identificação de vírus e respectivo anuncio publico para actualização de DAT´s...

se reparerem o NOD na altura que fiz o upload ainda não detectava...agora já detecta e se repararem veio na actualização do dia  :) acabou por ser curioso assistir ao processo

e a ideia até era mostrar o reverse engineiring de um virus e como funciona a detecção e divulgação de assinaturas... o que aconteceu com sucesso  :)

foi exactamente nesse período que os AV´s foram actualizados... quando analisei posso dizer que MS essensials (que compra o DAT file ao principal fornecedor), o Avast (reparei que depois fiz download do DAT e veio essa assinatura, mas quando analisei o vírus ainda não tinha) e o AVG... quando o analisei  ainda não estava como vírus identificado...o tempo da minha análise e de fazer o post foi o tempo de passar da comunidade para as empresas e respectivos DAT´s files... foi uma forma de verem esse processo em acção

muito curioso e execelente para quem nunca tinha visto um processo destes em tempo real :D

agora a má noticia... este virus é mutante... ele continua com uma assinatura diferente... faz parte da nova série de virus feitos com Kits de virus vendidos pelos russos...

e para quem diz não abrir executáveis só alerto para o facto de com um kit de virus muito facilmente se pegar na parte de trojan downloader e se adaptar a um exploit, por exemplo estes novos do firefox.. e assim bastava ir a um site ou lerem um email que chamasse o file "benhind de scenes"... e eram infectados

dai o perigo de se usar nos dias de hoje o firefox

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora