• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

herakty

Site para analisar ficheiros suspeitos que o AV não conhece

12 mensagens neste tópico

Virus Total

VirusTotal é um serviço que analisa arquivos suspeitos e proporciona uma rápida detecção de vírus, worms, cavalos de tróia, e todos os tipos de arquivos maliciosos detectados por vários mecanismos de antivírus

http://www.virustotal.com/pt/

é brtual... até faz o reverse engeneiring do ficheiro para verem mesmo o que ele faz.. que API´s chama e respectivas funções...

analisei um hoje que fazia estas chamadas... vejam se descobrem que tipo de virus é  :P :P

> advapi32.dll: RegCloseKey
> gdi32.dll: CreateFontA
> kernel32.dll: VirtualAlloc, VirtualFree, GetModuleHandleA, GetProcAddress, ExitProcess, LoadLibraryA
> oleaut32.dll: SysFreeString
> shell32.dll: ShellExecuteA
> user32.dll: MessageBoxA
> version.dll: GetFileVersionInfoA
> wininet.dll: InternetReadFile

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Já usei muitas vezes e faz sempre parte das minhas instalações no ambito da segurança em Windows.

Os relatórios que apresenta são muito completos, usa bastantes antivirus para analisar e a cena do reverse engenering que faz até deixa as lágrimas nos olhos de tão espectacular. Esperemos que não passe qualquer dia a ser pago.  ;)

Esse virus é que não estou mesmo a ver qual é  :cheesygrin:

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

    Aparentemente pelas chamadas que faz, leva-me a acreditar que se trate de um trojan. Mas é apenas uma opinião. Aparentemente ele pede ao user para dar um click qualquer numa msgbox. O que me leva a acreditar que se trate de um trojan, ou um worm quando muito.

Cordiais cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

também acho que se trata de um trojan ...

o que mais me chamou a atenção, foi a seguir a uma msgbox isto "GetFileVersionInfoA"...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

    Provavelmente uma validação, se a versão do ficheiro alvo "é vulnerrável" à infecção, ou se já se encontra infectado. Pensando na forma inversa, se estivesses a criar um virus, por certo não querias que ele infecta-se o mesmo file duas vezes, uma vez que criaria conflitos de software. (funcções duplicadas, chamadas duplicadas, e uma validação por filesize denunciaria a presença de algo anómalo. Penso que seja por isso que ele faz essa chamada.

   

advapi32.dll

é uma chamada a uma API de segurança do windows, provavelmente para subir de nivel em termos de permissões.

   

gdi32.dll

, é uma chamada a recursos graficos (presupõe-se que o virus se prepara para poder dar a msgbox.

   

kernel32.dll: VirtualAlloc, VirtualFree, GetModuleHandleA, GetProcAddress, ExitProcess, LoadLibraryA

Agora faz o seu "trabalho", verifica a memoria virtual, os modulos, os endereços de memória de um ou mais processos, apanha o Handle de um Modulo, carrega uma biblioteca de funções.

   

user32.dll: MessageBoxA

Agora vem a dita cuja MsgBox, que o virus nem sequer a traz programada, faz uma chamada ao user32, o que indica que o virus terá sido "razoavelmente bem feito" e provavelmente com ferramentas expecificas para windows, ou quando muito C++, (apenas suposições)

    Acho que por aqui já se tem uma boa ideia do que ele faz, e como faz, o ideal seria "meter as unhas ao file infectado para o "dissecar", devidamente, e com tempo. Sem pressas.

Cordiais cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

    Sacar o quê? Virus? Para que finalidade?? Não conheço nenhuma BD publica com virus ou a sua Source-Code. Mas a existir penso que seria apenas para fins educacionais.

    A unica forma que eu tenho é quando apanho um file infectado guardar um file infectado, no caso de ser um virus que infecte executaveis, trato de o deixar infectar um programa meu, para assim poder dissecar o virus com calma.

Cordiais cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Para fins educacionais, explorar o bicho :D

Pois é o que faço, em tempos tive uma disquete com um monte deles mas não sei que lhe fiz.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Existe alguma BD de vírus onde nós os possamos sacar?

Realmente uma base de dados assim dava jeito para podermos sacar vírus um a um e explorarmos os seus codigos para assim podermos defender-nos do que eles nos poderiam fazer... :D

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bem, ainda anda por aí à solta o Love-Letter, acho que é esse o nome, está escrito em VBS, muito parecido a VB, logo dá para ler o código e ter a ideia de alguns passos de infecção.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

    Por acaso tenho esse na colecção. Foi um daqueles que foi facil de cheirar no conteudo. Era simples e propagava-se recorrendo à "boa fé" dos utilizadores....

Cordiais cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora