ЗОНА АНАЛИЗА СОФТА!Malware или агнец божий?

Тема в разделе "ВАЖНО:Решение любых проблем с ПО и железом", создана пользователем Антоха, 17 ноя 2014.

↑ ↓
?

Нужна ли эта тема?

  1. Да

    7 голосов
    100,0%
  2. Нет

    0 голосов
    0,0%
  3. Очередная "мёртвая" тема

    0 голосов
    0,0%
  4. Зае..л ты со своей мальварью,лучше бы ключи выкладывал!

    0 голосов
    0,0%
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.179
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Angel-vs-Devil.
    На почту Главного Управления Тайной Канцелярии форума Ru-Sphere пришло прошение от гражданина Х (имя не разглашается до окончания следствия в целях обеспечения безопасности жизни и здоровья пользователя Х).На основании этого прошения я решил создать тему посвящённую анализу различных файлов.
    Из-за моих неглубоких знаний в области реверсинга программ,это дело было поручено вневедомственному тайному советнику АВ лабораторий,почётному пользователю форума,магистру чёрной и белой магииака Nedovirus'у.Все файлы были пересланы ему по секретному каналу связи (с функцией самоликвидации всей информации в случае атаки хакиров-террористов).
    И так суть прошения (в подлиннике):
    Открылся новый игровой сервер Aion-Universe. А мне как раз делать нечего, я посмотрел там версию, рейты, мне все понравилось и я решил поиграть там попробовать. В общем, пока качал клиент, эмсик поругался на 2 .dll файла, что они заражены и я их кинул в карантин. Вот отчеты в вирустотале:
    https://www.virustotal.com/ru/file/...72a7cdee34d50b5c198db38f/analysis/1416129625/
    https://www.virustotal.com/ru/file/...28f61a23223887ddf5cf7df1/analysis/1416130020/ Вот допустим Bitdefender говорит что это классификация вируса такова: Gen:Trojan.Heur2.GZ.Lz7abWhqyAoi - я попробовал гуглить, чот не нашел описания такому, или вот Malwarebytes определяет как Spyware. Password - это по своему могу понимать как стилер ( охотник за паролями), хотя вот нашел блог эмсисофта (http://blog.emsisoft.com/2014/06/18/emsisoft-malware-library/?found+Gen%3aTrojan.Heur2.GZ.Lz7abWhqyAoi+%28B%29), немного определяющий эти классификации, Spyware там определяется так:
    Spyware: a malicious program that can secretly track computer activity. Sends recorded information to its criminal author.
    Агааа. Покопался я в этой папке из которой емсик нашел 2 опасных .dll-ки, и нашел 1 файлик с названием Aion.exe , обычно такого файла в этой папке никогда не бывает. Вот любой клиент любого сервера скачай - там такого файла нет, потому что он там нафиг не нужен, нужно лишь лаунчер и файл Aion.bin - лаунчер запускает aion.bin и так заходит игра. Я просканировал эмсиком файл Aion.exe - эмсик сказал ничего подозрительного. Ладно, запустил я этот файл, и вот тут эмсик спалил еще 2 файла, а точнее странное поведение программ и обоих проверил у себя в сообществе эмсисофт, сказал что они определяются как ОПАСНЫЕ и сам их отправил в карантин. Потом я взял эти 2 файла залил на вирустотал, и вот они:
    https://www.virustotal.com/ru/file/...9c77088edb7058715325ff0f/analysis/1416138100/
    https://www.virustotal.com/ru/file/...903c42a723ba88fabd189577/analysis/1416138112/
    В итоге из папки с игрой извлеклось 4 файла, а игра работает нормально.. не знаю даже что думать, или клиент напичкали вирусами или ложное все это. Хотя второй вариант оочень врятли, в других клиентах (других серверов) таких файлов нет и не было.
    Прошу сотрудников Тайной Канцелярии рассмотреть моё дело и вынести вердикт — вредоносные или нет эти 4 файла из папки?


    P.S.Как сотрудник ТК я не буду высказывать своего преждевременного мнения основанного на гуглоанализе файлов и подожду ответа нашего научного сотрудника.Если же файлы будут признаны вредоносными,то можно устроить маленькую вакханалию на этом эльфийском форуме,где собираются поклонники игры Aion и порвать жопу свергнуть Верховных Жрецов сидящих у власти.
    По теме:желающих проанализировать свои файлы,прошу выкладывать их во вложении к посту с описанием проблем или подозрений на вредоносность.Большие файлы (свыше 5 мб прошу заливать на сторонние файло-ки).
    Сотрудников производящих анализ файлов,прошу вкратце (а ещё лучше в полном объёме) описать свои действия по исследованию дабы пополнить копилку знаний других пользователей.
    Спасибо за внимание;)

     
    • Мне нравится Мне нравится x 5
  2. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    По тому же закрытому каналу связи отписался по этим файлам. Нужна ли эта тема кому - не знаю. Последний вариант в голосовании - превосходен Dmeh-Smeh-Smeh!!!
    Мои скромные познания в этой области и мою возможность советовать аверам - явно перехвалили, там и сильно более хорошие спецы имеются, для которых это не старое хобби, а каждодневный заработок на жизнь, потому опыт/скил у них повыше будет.

    По поводу анализа файлов в общем вариантов может быть не два, как принято считать (чистый, не чистый), а намного больше, включая "а хрен его знает, но скорее да, чем нет" и прочих менее или более экзотических Я творю!!!

    PS: чисто в теории при наличии времени могу ковырять
     
    • Мне нравится Мне нравится x 5
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.179
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Чёрт побери!Профит который я собирался поиметь с Верховных Жрецов за молчание— обломался,да ещё от руководителя получил по первое число за невыполнение плана по раскрываемости.Пришёл ответ от нашего научного сотрудника Nedovirus'а.В общем дело закрыто.Файлы признаны безопасными.Причиной высокого детекта послужил протектор Themida.
    Он был использован для защиты от чужого вмешательства в эти ддлки.Аверам любопытно,что скрывается за этим,но увидеть они не могут-вот и огрызаются.Гриф "совершенно секретно" с дела снят.Я получил выговор и лишён премии.Эльфы с того форума обрывают телефон.В общем пипец!Nedovirus возможно хапнет пару косарей,если эльфы скинуться.Да...для достоверности выложу уже не секретный отчёт нашего сотрудника.
    IMG_0001.
    Несогласные с заключением выше,могут сами скачать образцы и отколупать эту Фемиду.
    В подтверждение слов Nedovirus'a на том форуме задали наш вопрос—"Что за хрень?",ответом была всё та же злосчастная Фемида.Почитать можно здесь (ссылку любезно предоставил пользователь X)
    Решил я глянуть на это чудо программистской мысли.Настройки и функции внушают уважение.Кто хочет поиграться,можно качнуть тут
    Пароли на архивы—хэши расположенные ниже
    PassWord:

    Themida 2.2.9.0.zip
    7390726CA727E9C8E42146E7AC83682F998084A9
    Themida 2.2.9.0 x86 patch for License patch.zip
    7390726ca727e9c8e42146e7ac83682f998084a9
    2.
    После обработки Фемидой пустой формочки на делфи её раздуло с 355 кб до 1,32 мб
    VT до (про какой-то ментовский троян ВТ гутарит;)
    VT после (один лишь НОД признал Фемиду,палево как ни странно не увеличилось
    Но если накрыть банальный винлок со страшной репутацией на ВТ этой штукой,то детект резко исчезает.Остаётся лишь НОД и Bkav.Интересно,почему такой разброс?На чистых файлах-палитцо,на вшивых-нет.
     
    • Мне нравится Мне нравится x 6
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.811
    Симпатии:
    429
    Пол:
    Мужской
    Репа:
    +963 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Нефига-ты криптонул...Отдыхай!!!

    Многие сидят напрягаются всякими крипторами, а тут уже готовое решение есть и что самое главное такой крипт будет нормально запускаться минуя всякие проактивки и поведенческий детект...My mind
     
    • Мне нравится Мне нравится x 4
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.811
    Симпатии:
    429
    Пол:
    Мужской
    Репа:
    +963 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 2
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.179
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Каспера с настройками по умолчанию обходит,но после перезагрузки локер исчез.Может косяк локера,может Фемиды.Но в карантине у Касперыча ничего нет.Кинул этого локера на растерзание нашим тестерам,но забыл вытащит файлы которые производит фемида (бэкап и конфигурация).Бэкап естественно спалился,ибо в чистом виде локер.Нортон загомонил про плохую репутацию (как всегда).
    P.S.Тема плавно превращается в анализ пакеров-протекторов;)
     
    • Мне нравится Мне нравится x 4
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.811
    Симпатии:
    429
    Пол:
    Мужской
    Репа:
    +963 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну у каспера идёт блокировка по Хипсу, т.е. если какое-то сильное внедрение в систему то он заблокирует превентивно в зависимости от той-же репутации, т.е. есть-ли ЦП и т.д., а вот то-что дал запуститься это плохо ибо пропуск сканера...

    Нужно смотреть куда внедряется локер, если глубоко в систему, то каспер его просто залочил хипсом...

    Что касается нортона, я вот что-то не пойму, недавно криптонул андромеду, ну-тем исходником где пытался подключить движок от Инди, так он по репутации незаблокировал-же, или нужно запускать со стационарного ПК, у меня на виртуалке вроде стоит старая версия, вроде запустился, что-то вообще непонимаю как эта репутация у них работает ?Не въехал!!!
     
    • Мне нравится Мне нравится x 4
  8. keb Уважаемый пользователь
    keb
    Ответить в чате

    Форумчанин

    Регистрация:
    17.02.2014
    Сообщения:
    554
    Симпатии:
    1.149
    Пол:
    Мужской
    Репа:
    +1.167 / 2 / -1
    Вот любимый уже некоторыми Dmeh-Smeh-Smeh!!! Corvus Corax описал! http://club-symantec.ru/showthread.php?t=1011
     
    • Мне нравится Мне нравится x 5
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.811
    Симпатии:
    429
    Пол:
    Мужской
    Репа:
    +963 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Я не стал там писать, НО Нортон даёт не всем файлам WS.Reputation.1, а по каким-то признакам, в качестве доказательства, написал супер-вирус, со встроенным турбо-двигателем со скопическим нано-интегратором, почти фуд и Нортон тоже...

    Вот VT:https://www.virustotal.com/ru/file/...ee07640af154c2b023474a82/analysis/1416329737/

    Ультроприват, пароль:111

    (bug)bug!!!
     

    Вложения:

    • Mega_Tulza.rar
      Размер файла
      157,3 КБ
      Просмотров:
      5
    • Мне нравится Мне нравится x 4
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.179
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Norton Security 22.0.2.17,настройки по умолчанию (ведь обычный пользователь так и использует авер,с настройками по дефолту).
    2.
    И снова перезагрузка и локера нет (он был взят в качестве примера из-за высокой палевности,для контраста).Грешу на локер.
     
    • Мне нравится Мне нравится x 5

Поделиться этой страницей