Jump to content

Site de Análise de files suspeitos e uma análise de virus corrente


herakty

Recommended Posts

Virus Total

VirusTotal é um serviço que analisa arquivos suspeitos e proporciona uma rápida detecção de vírus, worms, cavalos de tróia, e todos os tipos de arquivos maliciosos detectados por vários mecanismos de antivírus

http://www.virustotal.com/pt/

Análise de um recente trojan downloader... de um email que anda agora a navegar e a maioria dos AV´s não o conhece como podem ver no relatório que vou mostrar

requer desconhecimento e engenharia social, mas é novo e envolve diversas técnicas que vou abordar.. achei interessante relatar aqui o resultado das minhas análises

um exemplo de um trojan downloader e a facilidade com que o comum dos mortais o apanha... a mairoria das pessoas cai nisto, caso contrário eu não tinha recebido o seguinte

tenham em atenção que a maioria das pessoas que usam a net (a maioria das pessoas com contratos de ISP)não entendem bem as extensões de ficheiros e quando vêm um file assim Fotos.zip.exe, não percebem que não é um zip mas sim um executável

emailPolicia da Italia destruindo Lamborghin

Vc viu o policial destruindo a Lamborghini na Italia?

Inacreditavel!! rsrsrsrs

Da uma olhada no video e nas fotos...

Anexos: Lamborghini.zip (192,2 kB)

no URL debaixo do lamborghini estava isto:

http://is.gd/5sqAO

com:

wget -m is.gd/5sqAO

saquei todo o site e analisei detalhadamente os ficheiros para analisar e verifiquei que há uma série de reencaminhamentos (técnicas de proxy para despistar alguns) mas com os conhecimentos certos chegamos ao destino... mas quando chegamos ao destino não chegamos ao criminoso... chegamos a um site de noticias russo que foi crackado e foi lá colocado o trojan

http:\\joranalnoticias.pisem.su/Fotos.zip.exe

acho fabulosa a analise que este site faz e é a motivação deste post... aqui podem ver esta análise a um ficheiro que mts AV´s não conhecem ainda (poderão ver quais são os AV´s mais rapidos em update de DAT files)

Análise com reverse engeneiring do trojan

http://www.virustotal.com/pt/analisis/999d651aeef0960bc43fdfb5405d331b81733464f1443f3dcd44e0aeec1317b5-1261147678

teckV

Link to comment
Share on other sites

os PC´s e a internet são usados por quase toda a gente hoje... e da mesma forma que não dominas tudo no teu carro a maioria das pessoas usa o PC por necessidade e não querem saber os detalhes...

e é muito normal um gajo receber emails de contactos... ESTE VEIO DE UM CONTACTO MEU... muita gente pensa que é alguem a querer lhe enviar fotos e não sabe que se pode esconder URLs

e depois não sabem ver que um file.zip.exe é um executável e não um zip

e a tecnologia deste virus é também aplicada a worms (junta-se um exploit) e ele nem pergunta nada... instala-se e prontos

teckV

Link to comment
Share on other sites

Avira AntiVir também apita logo!

quando eu detectei e analisei estava mesmo quente como podem ver na análise... o vírus total não está desactualizado... vocês viram foi um processo em tempo real de identificação de vírus e respectivo anuncio publico para actualização de DAT´s...

se reparerem o NOD na altura que fiz o upload ainda não detectava...agora já detecta e se repararem veio na actualização do dia  🙂 acabou por ser curioso assistir ao processo

e a ideia até era mostrar o reverse engineiring de um virus e como funciona a detecção e divulgação de assinaturas... o que aconteceu com sucesso  🙂

foi exactamente nesse período que os AV´s foram actualizados... quando analisei posso dizer que MS essensials (que compra o DAT file ao principal fornecedor), o Avast (reparei que depois fiz download do DAT e veio essa assinatura, mas quando analisei o vírus ainda não tinha) e o AVG... quando o analisei  ainda não estava como vírus identificado...o tempo da minha análise e de fazer o post foi o tempo de passar da comunidade para as empresas e respectivos DAT´s files... foi uma forma de verem esse processo em acção

muito curioso e execelente para quem nunca tinha visto um processo destes em tempo real 😄

agora a má noticia... este virus é mutante... ele continua com uma assinatura diferente... faz parte da nova série de virus feitos com Kits de virus vendidos pelos russos...

e para quem diz não abrir executáveis só alerto para o facto de com um kit de virus muito facilmente se pegar na parte de trojan downloader e se adaptar a um exploit, por exemplo estes novos do firefox.. e assim bastava ir a um site ou lerem um email que chamasse o file "benhind de scenes"... e eram infectados

dai o perigo de se usar nos dias de hoje o firefox

teckV

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.