↑ ↓

Информация Супер-ратник не оставляющий следов

Ресерч Nancrat

  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Пользователь X-Shar разместил новый ресурс:

    Супер-ратник не оставляющий следов - Ресерч Nancrat

    Узнать больше об этом ресурсе...
     
    • Мне нравится Мне нравится x 1
  2. Ванесса Гость
    Ванесса
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Буржуины пожадничали за семпл
    Если взять хеши примера приведённого в статье (запостим для поисковиков)
    SHA-256 sum: b7cfc7e9551b15319c068aae966f8a9ff563b522ed9b1b42d19c122778e018c8
    HSA-1 sum: 3b1ac573509281cdc0b6141f8ea6ed3af393b554
    MD5 sum: 65752e742d643d121ee7e826ab65dc9b
    https://www.virustotal.com/en/file/...a9ff563b522ed9b1b42d19c122778e018c8/analysis/
    Находим местообитание сэмплов:
    Malwr - Malware Analysis by Cuckoo Sandbox
    https://www.hybrid-analysis.com/sam...3b522ed9b1b42d19c122778e018c8?environmentId=4
    Видим, что файлы запрещены к скачиванию.
    Гуглим и находим такой образец:
    MD5 430a0c0a4c9c1ab9f3be331b27cb56d9
    SHA1 a2763820b9b91c2d312c9b5b92aa162b74232552
    SHA256 38371822e1299c17a2a11c780c9d6d3d09a7f2e706a1144a50a7a52d70a10322
    https://www.virustotal.com/en/file/...d3d09a7f2e706a1144a50a7a52d70a10322/analysis/
    Видим, что на ВТ у этих сэмплов классификация у некоторых аверов совпадает полностью, в комментариях видим адрес: azona.chickenkiller.com
    В статье упоминается такая директория %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe
    Запускаем последний сэмпл на виртуалке (имага не грузится сюда отчего-то)
    [​IMG]
    Всё совпадает.
    Линк на сэмпл (файлы тоже не грузятся). Пасс:111
    PAYMENT_TT_SWIFT_COPY.zip
     
    • Мне нравится Мне нравится x 2
  3. UserOK Уважаемый пользователь
    UserOK
    Ответить в чате

    Форумчанин

    Регистрация:
    04.11.2014
    Сообщения:
    221
    Симпатии:
    299
    Пол:
    Мужской
    Репа:
    +348 / 5 / -0
    А толку то,что он даже теоретически не оставляет следов. АВ с нормальной проактивкой не даст ему нормально отработать даже в памяти ,перехватив подозрительные API.
     
    • Согласен(а) Согласен(а) x 1
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Незнаю, на дефолте ав стараются как можно меньше дерьбанить пользователя, что-бы исключить ложные срабатывания и т.д.

    Поэтому какие-то ав и пропустят, какие-то задетектят, тестить надо, всё ещё зависит от настроек !Не въехал!!!
     
    • Согласен(а) Согласен(а) x 2

Поделиться этой страницей