Jump to content

Site para analisar ficheiros suspeitos que o AV não conhece


herakty

Recommended Posts

Virus Total

VirusTotal é um serviço que analisa arquivos suspeitos e proporciona uma rápida detecção de vírus, worms, cavalos de tróia, e todos os tipos de arquivos maliciosos detectados por vários mecanismos de antivírus

http://www.virustotal.com/pt/

é brtual... até faz o reverse engeneiring do ficheiro para verem mesmo o que ele faz.. que API´s chama e respectivas funções...

analisei um hoje que fazia estas chamadas... vejam se descobrem que tipo de virus é  😛 :P

> advapi32.dll: RegCloseKey
> gdi32.dll: CreateFontA
> kernel32.dll: VirtualAlloc, VirtualFree, GetModuleHandleA, GetProcAddress, ExitProcess, LoadLibraryA
> oleaut32.dll: SysFreeString
> shell32.dll: ShellExecuteA
> user32.dll: MessageBoxA
> version.dll: GetFileVersionInfoA
> wininet.dll: InternetReadFile

teckV

Link to comment
Share on other sites

Já usei muitas vezes e faz sempre parte das minhas instalações no ambito da segurança em Windows.

Os relatórios que apresenta são muito completos, usa bastantes antivirus para analisar e a cena do reverse engenering que faz até deixa as lágrimas nos olhos de tão espectacular. Esperemos que não passe qualquer dia a ser pago.  😉

Esse virus é que não estou mesmo a ver qual é  😁

Link to comment
Share on other sites

    Aparentemente pelas chamadas que faz, leva-me a acreditar que se trate de um trojan. Mas é apenas uma opinião. Aparentemente ele pede ao user para dar um click qualquer numa msgbox. O que me leva a acreditar que se trate de um trojan, ou um worm quando muito.

Cordiais cumprimentos

"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Link to comment
Share on other sites

    Provavelmente uma validação, se a versão do ficheiro alvo "é vulnerrável" à infecção, ou se já se encontra infectado. Pensando na forma inversa, se estivesses a criar um virus, por certo não querias que ele infecta-se o mesmo file duas vezes, uma vez que criaria conflitos de software. (funcções duplicadas, chamadas duplicadas, e uma validação por filesize denunciaria a presença de algo anómalo. Penso que seja por isso que ele faz essa chamada.

   

advapi32.dll

é uma chamada a uma API de segurança do windows, provavelmente para subir de nivel em termos de permissões.

   

gdi32.dll

, é uma chamada a recursos graficos (presupõe-se que o virus se prepara para poder dar a msgbox.

   

kernel32.dll: VirtualAlloc, VirtualFree, GetModuleHandleA, GetProcAddress, ExitProcess, LoadLibraryA

Agora faz o seu "trabalho", verifica a memoria virtual, os modulos, os endereços de memória de um ou mais processos, apanha o Handle de um Modulo, carrega uma biblioteca de funções.

   

user32.dll: MessageBoxA

Agora vem a dita cuja MsgBox, que o virus nem sequer a traz programada, faz uma chamada ao user32, o que indica que o virus terá sido "razoavelmente bem feito" e provavelmente com ferramentas expecificas para windows, ou quando muito C++, (apenas suposições)

    Acho que por aqui já se tem uma boa ideia do que ele faz, e como faz, o ideal seria "meter as unhas ao file infectado para o "dissecar", devidamente, e com tempo. Sem pressas.

Cordiais cumprimentos

"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Link to comment
Share on other sites

    Sacar o quê? Virus? Para que finalidade?? Não conheço nenhuma BD publica com virus ou a sua Source-Code. Mas a existir penso que seria apenas para fins educacionais.

    A unica forma que eu tenho é quando apanho um file infectado guardar um file infectado, no caso de ser um virus que infecte executaveis, trato de o deixar infectar um programa meu, para assim poder dissecar o virus com calma.

Cordiais cumprimentos

"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Link to comment
Share on other sites

Bem, ainda anda por aí à solta o Love-Letter, acho que é esse o nome, está escrito em VBS, muito parecido a VB, logo dá para ler o código e ter a ideia de alguns passos de infecção.

Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Link to comment
Share on other sites

    Por acaso tenho esse na colecção. Foi um daqueles que foi facil de cheirar no conteudo. Era simples e propagava-se recorrendo à "boa fé" dos utilizadores....

Cordiais cumprimentos

"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.