Jump to content
yoyois

[Sample] Virus facebook

Recommended Posts

Sunt relativ (foarte) nou in stiinta virusologiei.

Am descoperit cam cu 2-3 saptamani in urma pe facebook un prieten care se plangea ca trimitea linkuri dubioase pe chat la toata lumea.

S-ar fi infectat dupa ce ar fi facut nus ce prin grecia.

Am analizat unul din linkuri: TUV Austria Hellas (Probail website compromis)

Si am aflat ca facea redirect catre o pagina de downlaod care continea fisierul asta:

GirlShare - Download Photo_014-www.facebook.com.rar

parola: cacat
(anti AV scan)
schimbati extensia din .exes in .exe (filtru anti-2Xclick din greseala)

Din lipsa de timp si cunostinte nu am apucat sa analizez fisierul. Daca tot s-a deschis categoria asta am zis sa postez pentru cei interesati.

Edited by yoyois
  • Upvote 1
Link to comment
Share on other sites

LE: Am inceput analiza pe cont propriu. Dar, ne mai facand vreodata asta mi-a fost cam greu:

Am analizat intai fisierul binar si am gasit ceva referinte la:

FastMM Embarcadero Edition © 2004 - 2011 Pierre le Riche

FastMM is a lightning fast replacement memory manager for Embarcadero Delphi Win32 and Win64

OK.

Plus Ca am gasit 2 antete PE, ce m-a dus cu gandul la un droper.

Numele variabilelor pare a fi ales foarte random.

Se pare ca la executie creaza un nou fisier in C:/WINDOWS/system32/lsass.exe (normal).

Daca procesului nu-i convine ceva mi se pare ca initiaza un shutdown :-?

Tot la executie face un request catre www.xyz25.com (inteband intai DNS-ul)

http://i.imgur.com/RqMxy81.png

Cam atat am aflat pana acum. Nu am vazut nici-un trigger pentru facebook. Defapt intrega aplicatie pare mica si inghesuita. Ma gandesc ca ar fi doar un dropper.

Defapt am reusit minunatia sa enervez virusul asa de tare incat sa nu se mai execute. (Probabil are un filtru care semnaleaza daca payload-ul a fost deja aruncat)

Scuze pentru dublu post

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...