Skuteczność antywirusów i analiza wirusa

Witam.

Dziś skupimy się na analizie "zdjęcia", które wczoraj pojawiło się na serwisie zapytaj.onet.pl. Tutaj link do tego "zdjęcia" jeśli ktoś jest zainteresowany analizą tego pliku: "zdjęcie".

Ważne! nie uruchamiać pliku exe z tego archiwum!

Oczywiście należy nadmienić, że nazwa pliku to: zdjecie001.JPG.rar no to sprawdźmy ile antywirusów wykrywa to jako zagrożenie: Link do wczorajszej analizy tylko 5 słabo trochę. No to idziemy dalej przy pomocy 7zipa otwieramy archiwum i widzimy tam tylko jeden plik: zdjecie001.JPG_zapytaj.onet.pl_.exe i wysyłamy znów na virustotal: Link do wczorajszej analizy jak widzimy sam exe jest mniej wykrywalny niż samo archiwum tylko 4 antywirusy wykryły ten plik jako zagrożenie. No do przejdźmy do analizy samego exe. Oczywiście przy analizie wirusów i innych zagrożeniach są możliwe dwa wyjścia:

• statyczna analiza

• dynamiczna analiza

Statyczna analiza polega na tym, że ładujemy plik do disassemblera np.: IDA i analizujemy plik. Tutaj trzeba się znać oczywiście na inżynierii wstecznej czyli w skrócie RE.
Dynamiczna analiza polega na tym, że nie musimy mieć pojęcia o RE, wystarczy uruchomić dany wirus i obserwować jego zachowanie. Jest wiele programów, które ułatwiają taką analizę, pokazują, jakie tworzy pliki, klucze w rejestrze itp. My dziś skupimy się jednak na statycznej analizie. Na początek sprawdźmy w czym został napisany ten wirus, więc ja posłużę się programem Exeinfo PE i widzimy:

Jak widzimy po screenie, analiza pójdzie bardzo łatwo, ponieważ aplikacja nie jest spakowana i wystarczy chociażby użyć .NET Reflector żeby zobaczyć kod źródłowy aplikacji. Tak więc ładujemy plik i przystępujemy do analizy. No i na pierwszy rzut oka widzimy klasę IRC jak można już się domyśleć wirus komunikuje się przez protokół IRC. W tej klasie mamy funkcję RunCommand w której możemy zobaczyć co atakujący może zrobić. Jakby ktoś chciał się połączyć z tym kanałem IRC to w klasie Configuration mamy wszystkie dane do połączenia. Interesująca jest również klasa Functions zawierająca różne funkcje jak np.: dodanie reguły do firewalla czy też ukrycie z listy procesów. W klasie RegistryTools widzimy, że aplikacje dodaje siebie do autostartu. Mamy również klasę SpreadByDrives która infekuje pamięci USB. No i na koniec jeszcze klasa Install i metoda Uninstall czyli jak usunąć wirusa. Oczywiście to nie cała analiza, ale jeśli ktoś ma trochę pojęcia o programowaniu i zna angielski to można taką prostą analizę przeprowadzić samemu.

Na koniec jeszcze sprawdźmy co się zmieniło od wczoraj w świecie antywirusów skan z dziś pliku rar: Dzisiejsza analiza oraz pliku exe: Dzisiejsza analiza. No jak widzimy sytuacja już dużo lepiej wygląda niż wczoraj.

Tego typu wirusy często są spotykane w mailach czy na serwisach społecznościowych, więc następnym razem sprawdzajmy czy zdjęcie jest faktycznie zdjęciem, a nie archiwum czy aplikacją. Pomocne tutaj będzie włączenie pokazywania rozszerzeń pliku: Just do it.

No i na koniec najważniejsze: najlepszym zabezpieczeniem komputera nie jest żaden pakiet ochraniający tylko my sami. Bo jak widzieliśmy po analizach nie zawsze antywirusy wykrywają od razu dane zagrożenie.

Jeśli ktoś ma obawy co do danego pliku zawsze przed uruchomieniem można użyć virustotal, przydatnymi serwisami mogą być także: Anubis, XecScan, Malwr, lub też podesłać mi ten pliczek :)

No i na koniec wszystkiego najlepszego dla naszych kotów w końcu dziś jest ich święto :)