Olá pessoal!
Primeiramente
feliz 2014, um pouco atraso mais o que vale é a intenção não é ?!
Esse final
de ano minha tia me pegou para "consertar sua internet lenta", para
minha alegria coletei um Banker rodando em seu notebook. Vamos a analise J
1 – Logo de
início me deparei com esse executável no inicializar do sistema:
Obs.: Podem ver que apesar de ser um executável, sua “extensão”
está como .PDF. Leigo caí fácil.
2 – Depois de tomar toda a ação necessário no notebook e
as devidas orientações coletei o malware e comecei a análise estática.
·
Primeira rodei o comando “FILE” no Linux para
descobrir o Magic Number do arquivo e logo sua extensão. Abaixo confirmamos que
se trata de um executável.
·
Agora quero saber qual o compilador usado,
utilizarei o PESTR da ferramenta PEV para analisar as strings do arquivo.
·
Legal, já sabemos a extensão real do arquivo e
seu compilador. Tentarei ir em busca de mais informações relevantes com o
PESCAN – PEV.
Obs.: O programador do malware
não se importou em criar barreiras para dificultar a análise do arquivo. Vamos
para o próximo passo...
·
Localizando o EntryPoint do arquivo. EntryPoint indica
o endereço relativo da primeira instrução a ser executada pelo aplicativo,
assim que carregado na memória. Muito importante para fazer o disassembler do
malware.
·
Já temos bastante informações sobre o arquivo,
poderia ser feito o disassembler no EntryPoint acima e verificarmos todas as
chamadas do malware em nosso sistema, como não é esse o proposito deixaremos
para a próxima! Para última analise utilizo novamente o PESTR – PEV, agora
quero saber quais os domínios que o malware “monitora”.
Bom, paramos por aqui. Espero
que tenham entendido essa análise estática e o quanto ela é importante. Submeti
o arquivo no VírusTotal e numa sandbox online. O legal que a sandbox não detectou
a comunicação com os domínios acima.
https://www.virustotal.com/pt/file/fbc5bd8ed60c9b6e9517e200e40f73eefd81b7f5497448f349f135db4225d376/analysis/
Nenhum comentário:
Postar um comentário
Todos os comentários serão previamente avaliados pelos administradores. Obrigado.