segunda-feira, 13 de janeiro de 2014

Pode arrumar o notebook da tia?




Olá pessoal!
Primeiramente feliz 2014, um pouco atraso mais o que vale é a intenção não é ?!
Esse final de ano minha tia me pegou para "consertar sua internet lenta", para minha alegria coletei um Banker rodando em seu notebook. Vamos a analise J

1 – Logo de início me deparei com esse executável no inicializar do sistema:



Obs.: Podem ver que apesar de ser um executável, sua “extensão” está como .PDF. Leigo caí fácil.

2 – Depois de tomar toda a ação necessário no notebook e as devidas orientações coletei o malware e comecei a análise estática.
      
·         Primeira rodei o comando “FILE” no Linux para descobrir o Magic Number do arquivo e logo sua extensão. Abaixo confirmamos que se trata de um executável.

 
·         Agora quero saber qual o compilador usado, utilizarei o PESTR da ferramenta PEV para analisar as strings do arquivo.


 ·         Legal, já sabemos a extensão real do arquivo e seu compilador. Tentarei ir em busca de mais informações relevantes com o PESCAN – PEV.


Obs.: O programador do malware não se importou em criar barreiras para dificultar a análise do arquivo. Vamos para o próximo passo...

·         Localizando o EntryPoint do arquivo. EntryPoint indica o endereço relativo da primeira instrução a ser executada pelo aplicativo, assim que carregado na memória. Muito importante para fazer o disassembler do malware.



·         Já temos bastante informações sobre o arquivo, poderia ser feito o disassembler no EntryPoint acima e verificarmos todas as chamadas do malware em nosso sistema, como não é esse o proposito deixaremos para a próxima! Para última analise utilizo novamente o PESTR – PEV, agora quero saber quais os domínios que o malware “monitora”.



Bom, paramos por aqui. Espero que tenham entendido essa análise estática e o quanto ela é importante. Submeti o arquivo no VírusTotal e numa sandbox online. O legal que a sandbox não detectou a comunicação com os domínios acima.

https://www.virustotal.com/pt/file/fbc5bd8ed60c9b6e9517e200e40f73eefd81b7f5497448f349f135db4225d376/analysis/
https://malwr.com/analysis/ZmY2OTFmYzY2MTU1NDFkYTg1OGI0YWY2N2M5NjNmZGM/
Postado por às

Nenhum comentário:

Postar um comentário

Todos os comentários serão previamente avaliados pelos administradores. Obrigado.

Assinar: Postar comentários (Atom)