yoyois Posted September 2, 2013 Report Posted September 2, 2013 (edited) Sunt relativ (foarte) nou in stiinta virusologiei.Am descoperit cam cu 2-3 saptamani in urma pe facebook un prieten care se plangea ca trimitea linkuri dubioase pe chat la toata lumea.S-ar fi infectat dupa ce ar fi facut nus ce prin grecia.Am analizat unul din linkuri: TUV Austria Hellas (Probail website compromis)Si am aflat ca facea redirect catre o pagina de downlaod care continea fisierul asta: GirlShare - Download Photo_014-www.facebook.com.rarparola: cacat (anti AV scan)schimbati extensia din .exes in .exe (filtru anti-2Xclick din greseala)Din lipsa de timp si cunostinte nu am apucat sa analizez fisierul. Daca tot s-a deschis categoria asta am zis sa postez pentru cei interesati. Edited September 3, 2013 by yoyois 1 Quote
yoyois Posted September 3, 2013 Author Report Posted September 3, 2013 LE: Am inceput analiza pe cont propriu. Dar, ne mai facand vreodata asta mi-a fost cam greu:Am analizat intai fisierul binar si am gasit ceva referinte la:FastMM Embarcadero Edition © 2004 - 2011 Pierre le Riche FastMM is a lightning fast replacement memory manager for Embarcadero Delphi Win32 and Win64 OK. Plus Ca am gasit 2 antete PE, ce m-a dus cu gandul la un droper.Numele variabilelor pare a fi ales foarte random.Se pare ca la executie creaza un nou fisier in C:/WINDOWS/system32/lsass.exe (normal).Daca procesului nu-i convine ceva mi se pare ca initiaza un shutdown Tot la executie face un request catre www.xyz25.com (inteband intai DNS-ul)http://i.imgur.com/RqMxy81.pngCam atat am aflat pana acum. Nu am vazut nici-un trigger pentru facebook. Defapt intrega aplicatie pare mica si inghesuita. Ma gandesc ca ar fi doar un dropper.Defapt am reusit minunatia sa enervez virusul asa de tare incat sa nu se mai execute. (Probabil are un filtru care semnaleaza daca payload-ul a fost deja aruncat)Scuze pentru dublu post 1 Quote
