Ola pessoal do blog !
Na análise dinâmica do sample Acrobat_Reader_PDF.exe não foi encontrado
nenhuma ação comprometedora ao sistema operacional. Ele pode ter comportamentos
diferente no Windows XP.
Análise dinâmica nada mais é que monitoramos o comportamento no binário em
nosso LAB !
Ferramentas usadas:
Windows 7 x86
FakeNet
Process Monitor
Logo que executo o binário ele exibe a tela abaixo, por sinal muito mal
feita em Delphi !
Com o FakeNet executando na maquina, observei que quando se clica no botão
é feito consulta DNS e acesso HTTP a um endereço especifico.
Também foi criado uma chave no regedit para sua auto reprodução.
Esse malware também consulta várias DLL’s do Windows e chave
de registro. Mais não iremos citar nesse momento por não ser tão relevantes. Nesse
momento é só, creio que esse a ideia principal desse malware nesse momento é
promover um melhor índice para o endereço consultado nos indexadores de URL.
