Исследование вирусов и вредоносного ПО
Статьи
Статьи, в которых будет описан тернистый путь исследователя вредоносных программ
Анализ G-Bot 2.0
204.04.2012
в Статьи
Разгребая скопившуюся за полтора месяца почту, я заглянул в папку со спамом и обнаружил письмецо, присланное еще в марте, с сэмплом g-bot’а. Жаль, что не видел его раньше, но лучше поздно, чем никогда.
G-bot 2.0 — это очередной DDoS-бот от отечественных вирьмейкеров, написанный на делфи. Synapse не используется.
О предыдущих версиях я уже писал, они попадали в публичный доступ с билдером и панелью управления, эта же версия пока остается приватной.
И так, сэмпл:
File Name: g-bot 2.exe File Size: 72192 bytes Compiler: Delphi 7 MD5: fc58d2c2b25a50af5f9dae265a37310a SHA1: 4e6ce5abe0da98dc9071a13efaeb65958f876dfd File entropy: 6.34260 (79.2825%) PE Time: 0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC] Sections (8): Name Entropy MD5 CODE 6.49 677e1c1e65a1c027e8967880ebb57ffa DATA 3.53 703576fb90f55261c095903ab0a03ce6 BSS 0.0 d41d8cd98f00b204e9800998ecf8427e .idata 4.49 83de8fdb212d92b558bb1cb11eda0881 .tls 0.0 d41d8cd98f00b204e9800998ecf8427e .rdata 0.21 01d0b567afca29fa45cee33227996208 .reloc 6.51 31556166af237bcf7c488bd3f61e2f30 .rsrc 3.41 8c34631a7d8708c4a4c860772298260f
На вирустотале файл был засвечен еще в начале марта (2012-03-04)
(далее…)
Анализ Pandora DDoS bot
1103.04.2012
в Статьи
Очередного клона Dirt Jumper, на этот раз пятой версии, «слили в паблик». То есть выложили в общий доступ. Имя этой поделке — Pandora DDoS Bot. А цена на черном рынке аж 800$.
Все как и в оригинальном зловреде — Delphi+synapse, размер около 170кб, установка в системе службой, копировнаие себя в системную папку.
Официальное описание бота, если это можно так назвать: http://pastebin.com/V0JjLUXz
Количество ошибок в тексте, как грамматических, так и технических, говорит само за себя, так же курьезные опечатки и нелепости встречаются и в коде бота.
Поехали:
File Name: pandora.exe File Size: 177152 bytes MD5: 0fc3481d8b9933b7f325101949ecf5e5 SHA1: cb1e7f1c362b5cdf5cd9151cbe2fcae7f7fe1316 PE Time: 0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC] Sections (8): Name Entropy MD5 CODE 6.53 9805eaddcbc78a2f4f68b648bfad2978 DATA 4.16 a1324f7532dd48f9017f46be1613826b BSS 0.0 d41d8cd98f00b204e9800998ecf8427e .idata 4.48 b254b43e6712cf8533a5306a46f242dc .tls 0.0 d41d8cd98f00b204e9800998ecf8427e .rdata 0.2 1144cf17efa7e08a7c62921375bd99ee .reloc 6.67 12f2747caf308a358b2e892777f79169 .rsrc 3.48 96354dc6d5afdc8e2593cd06d037a54c
В коде и строках сразу видно, что все открыто, кроме адреса админки:
(далее…)
Virtualbox. Проброс портов на гостевую систему. Режим NAT.
123.02.2012
в HOWTO
Приветствую.
Иногда бывает необходимо поднять на виртуальной системе какой-либо сервер или демон, который должен быть доступен из сети интернет.
Вообще для того, чтобы обратиться к удаленному хосту, тот должен иметь прямой ip-адрес, в нашем случае прямой «айпишник» будет принадлежать тому устройству, на котором работает виртуальная машина с гостевой операционкой. Используем режим NAT, перенаправим порт, и при обращению к порту, скажем, 80-му, мы попадем запросом не на хост-систему, а на виртуальную.
Надеюсь, вы поняли =)
Рассмотрим ситуацию с гостевой windows xp.
(далее…)
Анализ DDoS-бота Dirt Jumper v5
923.02.2012
в Статьи
Не так давно в публичный доступ просочился билдер для DDoS-бота Dirt Jumper версии 5. Я уже писал о предыдущих версиях, так же расскажу со временем о Simple и September, которые построены на исходника Dirt Jumper, но о них позже.
И так, начнем, передо мной 2 сэмпла, один, хранящийся еще с октября и новый, полученный вместе с утекшим билдером.
File Name: DJS.exe File Size: 194560 bytes MD5: ef9c4bfa9906251d52c3658252224d85 SHA1: 2b19632d659834082f6d3990fe1f5d767a6c997c Sections (8): Name Entropy MD5 CODE 6.53 4672828ee47947268d73d1c2a1fd1713 DATA 3.62 1d4ae05c0211f9ea19df9f338d56e56c BSS 0.0 d41d8cd98f00b204e9800998ecf8427e .idata 4.5 2b9af02d60edec287ae4c9b3e0485dbe .tls 0.0 d41d8cd98f00b204e9800998ecf8427e .rdata 0.19 28765e2052b1ca47b176a8ee8084fa57 .reloc 6.64 79a038d651070c4e5d8fb2bbba37bc86 .rsrc 3.37 d54b88c104472e46d28e57efdbc3d8b2
File Name: stub.exe File Size: 194560 bytes MD5: 506ba7a322288cc4dc55b7c32fea9f4f SHA1: d4795b350632ec0a2ea69cc8ab481634c903742d Sections (8): Name Entropy MD5 CODE 6.53 a6a2f999004ea4755f19af496de79c30 DATA 3.62 1d4ae05c0211f9ea19df9f338d56e56c BSS 0.0 d41d8cd98f00b204e9800998ecf8427e .idata 4.5 2b9af02d60edec287ae4c9b3e0485dbe .tls 0.0 d41d8cd98f00b204e9800998ecf8427e .rdata 0.19 28765e2052b1ca47b176a8ee8084fa57 .reloc 6.64 79a038d651070c4e5d8fb2bbba37bc86 .rsrc 3.37 d54b88c104472e46d28e57efdbc3d8b2
демонстрирует результат 18/43 — ведущие антивирусные вендоры не дремлют, хоть и не дают конкретного детекта, что это бот.
Файлы идентичны по содержимому, разница только в адресах панелей управления.
(далее…)
Установка VirtualBox+Windows XP
1016.02.2012
в HOWTO
Для того чтобы провести анализ того или иного приложения без риска для своей операционной системы, нам понадобится система виртуальная, об установке которой мы сейчас и поговорим.
Даже с такой несложной задачей у некоторых бывают проблемы. Я коротко опишу процесс установки сначала самой виртуальной машины VirtualBox, затем установку в качестве гостевой системы windows xp professional.
На самом деле ничего сложного. Нам понадобится:
- Virtualbox + VM VirtualBox Extension Pack. Скачивается с официального сайта:
Версии под линукс:
- Установочный образ Windows XP Professional SP3, качать его или купить — ваш выбор.
- Не менее 6 гигабайт свободного пространства на жестком диске.
- Не менее 768 мегабайт оперативной памяти. Для комфортной работы от 1 гигабайта и более.
- Процессор особого значения не имеет, достаточно будет и 1 гигагерца.
Скачиваем установщик, ставим, затем устанавливаем двойным кликом пакет дополнений VM VirtualBox Extension Pack.
Теперь создадим новую виртуальную машину.
(далее…)