Wnioski o malware \ Malware Requests
Jak widzisz w paczce są dwa pliki,jeden to biblioteka a drugi PE czyli wykonywalny typu .exe.
Do działania jest własnie potrzebna ta biblioteka, która już po krótkiej analizie posiada widoczne importy takie jak np. wsock32.dll czyli można powiedzieć że biblioteka i jej funkcje są potrzebne to komunikacji z siecią

W bibliotece dodatkowo znajdują się sekcje spakowane upx w celu zmniejszenia ryzyka wykrycia itp. działań.
Podczas odpalenia programu wykonywalnego ładowany jest tylko jeden plik .windows.sys do lokalizacji w Windows xp takiej jak C:\Documents and Settings\All Users\Application Data i tyle z działań.

Nie dodaje się do autostartu ani innych lokalizacji.

Plus jest też taki że próbka zapewnia sobie przeżywalność kolejnych restartów.

Czyli jedyny cel tego zagrożenia to komunikacja sieciowa. Zagrożenie też się rozwinęło dodatkowo o komunikację z serwerami C&C i zyskał też funkcjonalność keyloggera
Odpowiedz
Gdzie znajdę sample tych ransomwarówSmile ?
Chcę potestować kilka softów, pomoże ktoś?
SpyShelter Premium + Avast Free
Odpowiedz
TeslaCrypt
Treść widoczna jedynie dla zarejestrowanych użytkowników

CryptoWall 3.0
Treść widoczna jedynie dla zarejestrowanych użytkowników

pass. infected
Odpowiedz
Tachion szukałem..szukałem...i nie znalazłem.

Potrzebuje (emeryta) - Wirusa: I LoveYou
Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
Odpowiedz
tzw. WORM:​VBS/LOVELETTER
Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
Dzięki Wielkie Tachion !

EDIT: Jak by ktoś chciał to tutaj jest skan na virustotal.com:

[Aby zobaczyć linki, zarejestruj się tutaj]

Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
Odpowiedz
Potrzebuje na Szybko adware: Strong Singal.

Z Góry Dziękuje za próbki.
Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
Odpowiedz
Jeśli ktoś ma na "stanie", to potrzebuję TDL3 czy Auleron (wprawdzie jest to jedno i to samo), mogą być też starsze TDSS, wiadomym że potrzebuję do testu.
Fajnie by było, jak by przesłano ok. 5-7 sztuk, wszak może być mniej, nie jestem pazerny. Wink

PS: Fajnie jeszcze jakby ktoś miałSadnazewnictwo - Kaspersky)

Rootkit.Win32.TDSS.mbr
Rootkit.Boot.Aeon,
Rootkit.Boot.Wistler
Rootkit.Boot.Nimnul
Rootkit.Boot.SST
Rootkit.Boot.Smitnyl
Trojan-Ransom.Boot.Siob
Rootkit.Win32.Stoned
Rootkit.Boot.Xpaj
Rootkit.Boot.Yurn
Rootkit.Boot.Krogan
Rootkit.Boot.Lapka
Rootkit.Boot.Batan

Niestety, nie posiadam MD5 tych malware.
HitmanPRO
"Distrust and caution are the parents of security" - Benjamin Franklin
Odpowiedz
Z nazwy to tylko to znalazłem:

Kod:
092A6535BBD9B1BBE5732205E03BA9D0    Rootkit.Win32.TDSS.acyl
0D2DF2CCA00664CA2EE200BF12DD7C44    Rootkit.Win32.TDSS.gv
0FCC8F0250372BD3D909A9E022C8B3C0    Rootkit.Win32.TDSS.pdq
1C93BB3D8CB58DFE1A913D1699776BED    Rootkit.Win32.TDSS.aivw
242B7A0BB6C9D24AEFD36DA60A513840    Rootkit.Win32.TDSS.ce
2AE8A971309EB9C8B5930B11D7A42614    Rootkit.Win32.TDSS.br
2BC39C400F8EEEF6D368BDB31FDD4A29    Rootkit.Win32.TDSS.gq
38AC5DB9C186AE0B76731C1B429AB919    Rootkit.Win32.TDSS.cw
3B44BF477E90AFA5DF4D5DF24482B37F    Rootkit.Win32.TDSS.gw
63415D33E41CC9B3ED473D6C1123F6E8    Rootkit.Win32.TDSS.ajpi
6B46484C227D8BEFA04C7A8F5A07399D    Rootkit.Win32.TDSS.gq
6B9E9CF2C224546EC46851F271041157    Rootkit.Win32.TDSS.dgi
72B558AFAB642AB94A4F92B86256FFDB    Rootkit.Win32.TDSS.br
7705E47B4DEA502DB3EF76AD3C71848A    Rootkit.Win32.TDSS.cw
7AB2278A550A0A4B7EA23138A091DF28    Rootkit.Win32.TDSS.gm
806028251AE7E1D7A4DDE919DE7BFE9B    Rootkit.Win32.TDSS.accr
8F6345D01B64F67076F6594137EAA482    Rootkit.Win32.TDSS.anpk
A2886506D8B342F0F691BEA3C87FB74A    Rootkit.Win32.TDSS.cf
B14ACEC3B4A7FB61A294AC2D9C8F5EF1    Rootkit.Win32.TDSS.cb
F2D1433DBC2325C0C569C7C11EB49340    Rootkit.Win32.TDSS.ajxr
8b7082646821f98536a51f56ac591c30    Rootkit.Boot.Wistler.a
610F79E72BE06F7CFD43EEE0A6ED3792    Rootkit.Win32.Stoned.a
DF439C1F253B29288B20439D32BC8220    Rootkit.Win32.Stoned.a
FDC56D620BA4462B89D7D57404EE292A    Rootkit.Win32.Stoned.a

Treść widoczna jedynie dla zarejestrowanych użytkowników
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
tommyklab napisał(a):Z nazwy to tylko to znalazłem:

Podziękował, pobrane.
HitmanPRO
"Distrust and caution are the parents of security" - Benjamin Franklin
Odpowiedz
Szukam świeżaków:
-coś z rodziny Ransomów (Reveton etc., nie crypto)
-Rouge, najlepiej coś w stylu LSP

I prosiłbym o jak najnowsze, z jak najniższym współczynnikiem wykrywalności
0x DEADBEEF
Odpowiedz
(09.05.2015, 20:19)chomikos napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukam świeżaków:
-coś z rodziny Ransomów (Reveton etc., nie crypto)
-Rouge, najlepiej coś w stylu LSP

I prosiłbym o jak najnowsze, z jak najniższym współczynnikiem wykrywalności

Podbijam
0x DEADBEEF
Odpowiedz
Witajcie,
szukam Posseidon (atak na terminale płatniczce/kasy) oraz Dextera
Odpowiedz
Dexter
Treść widoczna jedynie dla zarejestrowanych użytkowników

POS
Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
Czy posiada może ktoś nastepujące wirusy w swoich bazach : ZeroAccess ( ten infekujący sterowniki, ten z consrv), Necurs oraz TDL4?

Potrzebuję tego do sprawdzenia narzędzi antywirusowych

Z góry dzięki za pomoc Smile
Odpowiedz
Rootkit zeroccess.aml infekujący sterownik 
Treść widoczna jedynie dla zarejestrowanych użytkowników


Rootkit necurs
Treść widoczna jedynie dla zarejestrowanych użytkowników


TDL4
Treść widoczna jedynie dla zarejestrowanych użytkowników


Jeszcze mam zeroaccess RLO 

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
Ten Sirefef RLO to chyba ten który w logach robi hijacka, tj.odwraca nazwę usługi w celu zmyłki.
Odpowiedz
Tak coś takiego właśnie.

RLO

Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
Szukam czegoś egzotycznego, np. wykrzaczającego IDE przy próbie disassemblacji. Ktoś, coś?
0x DEADBEEF
Odpowiedz
Bardzo pilnie poszukuje tej próbki
3A7E9EFDAA34783E9E8CF8B6CE7E9403AF055B48

[Aby zobaczyć linki, zarejestruj się tutaj]


Jeśli ktoś ma ją w swoich archiwach to bardzo proszę o informacje. Bardzo pilne! Z góry dzięki!!!!!
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 3 gości