Μalware(;) παίζει radio στο background και δημιουργεί κολλήματα στο PC

[Hydra]

Για εκεί πάμε όπως το βλέπω, αλλά έφαγα σκάλωμα να το διαγράψω, έστω εντοπίσω...

Φαντάζομαι το γελοίο, να διαγράψω τον ΙΕ.... δεν θα χε αποτέλεσμα; :baby:

Θα πιάσει άλλον browser...

Τώρα παίζει trailers ταινιών. omg.

[GoMaR]

η πρωτη δουλεια που κανω μετα απο φορματ ειναι να διαγραψω τον iexplorer.

τωρα εσυ γτ τον εχεις , εσυ το ξερεις

[Hydra]

Αυτό αναρωτιέμαι κι εγώ.

Προσπάθησα να διαγράψω το iexplore.exe από το C:/Program Files/Internet Explorer, όπως διάβασα εδώ, αλλά δεν λέει να με αφήσει κι ας έχω απενεργοποιήσει το UAC. Τα νέυρα μου.

[GoMaR]

control panel - program and features

turn windows features on or off

[Gi0]

Παμε ενα-ενα.

Για αρχη κανε τον κοπο να ανεβασεις το ιδιο το log file του Autoruns, για να μπορεσω να το ανοιξω με το autoruns, το οποιο θα κανει την αναγνωση του πολυ ευκολοτερη και οργανωμενη.

Ρωταω για να επιβεβαιωσω ακομα μια φορα: Δεν εχεις ανοιξει κανενα instanse του Internet Explorer και δεν βλεπεις καποιο παραθυρο του, παρα το γεγονος πως ειναι ανοιχτος οπως φαινεται (και συνδεδεμενο με ενα καρο ips, συμπεριλαμβανομενης και της σελιδας dailymotion). Σωστα?

Ενεργοποιησε τα paths στις στηλες του Process Explorer και εντοπισε που βρισκεται το search indexer. Στη συνεχεια τερματισε το και βαλτο σε ενα password protected rar οπως σου ειπα πριν. Εαν τυχον υπαρχουν κ αλλα υποπτα αρχεια στο φακελο του, βαλτα κ αυτα μεσα.

Υποθετω πως στο autoruns εμφανιζεται να τρεχει με το startup των Windows και θα μπορεις να το κανεις απενεργοποιηση, αλλα περιμενω το log για να το επιβεβαιωσω.

Προαιρετικα ανεβασε το searchindexer στο VirusTotal. Το signature του θα προωθηθει στους AV Vendors (προαιρετικα, καθως ετσι κ αλλιως μεταξυ αλλων θα το κανω και εγω αυτο, μολις το παρω).

[Hydra]

Ευχαριστώ ξανά.

Εδώ είναι το log του Autoruns.

Έχω όμως κάποιες απορίες και κωλλήματα πριν προχωρήσω στα επόμενα βήματα.

Δεν είμαι εξοικειωμένος με το Process Explorer και δε γνωρίζω πού/πώς ακριβώς θα ενεργοποιήσω τα paths, όσο κι αν έψαξα.

Κι έπειτα το ανεβάζω και στο VirusTotal βεβαίως.

Όχι, δεν υπάρχει κανένα παράθυρο ΙΕ ανοιχτό, ούτε instance, αφού και να υπήρχε χωρίς να το πάρω χαμπάρι τώρα δεν φορτώνει με το startup. Έβγαλα την επιλογή "φόρτωση στοιχείων εκκίνησης" από MSCONFIG καλού κακού από το πρωί.

[Hydra]

Το searchindexer.exe όπως φαίνεται και στην εικόνα βρίσκεται στη Βιβλιοθήκη (:X:), εκεί μέσα πέρα από τα κλασσικά μουσική, εικόνες, βίντεο, έγγραφα δεν δείχνει τίποτε άλλο, και στο search του παραθύρου πάνω πάνω δεν βρίσκει το πρόγραμμα όταν το ψάχνω. :baby:

EDITS: Οκ το βρήκα, απλώς όπως φαίνεται στην εικόνα, κάθε ένα από τα τρία explorer.exe, searchindexer.exe, SearchIndex.exe είναι σε διαφορετικές τοποθεσίες το καθένα. Τα μαζεύω και τα βάζω σε ένα .rar όλα φαντάζομαι. (?)

Έκανα kill process του searchindexer και αμέσως εξαφανίστηκε η μπάρα εργασίας !

[Gi0]

Ανοιγεις το Autoruns και απενεργοποιεις αυτα τα δυο (προφανως δεν εννοω το avgnt)

Κανεις reboot.

Τα βαζεις σε ενα rar και τα ανεβαζεις καπου για να τα παρω.

Αναφερεις αποτελεσματα

[Hydra]

Νάτο το rar. Εδώ. Κωδικός: infected

Μετά το boot δεν φαίνεται κανένα iexplorer.exe στον task manager. Προηγουμένως είχα απενεργοποιήσει από το Autoruns και τον Internet Explorer.

Δεν παίζει πάντα ράδιο, οπότε θα δούμε και στην πορεία. . Για να δω αν έχει κολλήματα, 'παίζω' με το παράθυρο του chrome με ανοιχτές καρτέλες για να δω αν lagάρει το aero. Λαγκάρει ακόμα, τα κολλήματα δεν κόπηκαν δηλαδή.

[Gi0]

Νάτο το rar. Εδώ. Κωδικός: infected

Μετά το boot δεν φαίνεται κανένα iexplorer.exe στον task manager. Προηγουμένως είχα απενεργοποιήσει από το Autoruns και τον Internet Explorer.

Δεν παίζει πάντα ράδιο, οπότε θα δούμε και στην πορεία. .

Χαμηλο detection rate και βλεπεις και το λογο που παρα το avira, το super antispyware και το malwarebytes που εχεις εγκατεστημενο, περασε χωρις προβλημα.

Απο τη στιγμη που ειναι απενεργοποιημενο, δεν θα το ξανασυναντησεις. Εννοειται πως σβηνεις και τα αρχεια που απενεργοποιησες πριν στο Autoruns.

Θα επανελθω με τυχον ευρηματα σχετικα με την λειτουργια του.

Για να δω αν έχει κολλήματα, 'παίζω' με το παράθυρο του chrome με ανοιχτές καρτέλες για να δω αν lagάρει το aero. Λαγκάρει ακόμα, τα κολλήματα δεν κόπηκαν δηλαδή.

Κρατας ανοιχτο τον process explorer, ανοιγεις το System Information-->CPU διαγραμμα (Ctrl+I) και παρακολουθεις τα spikes της cpu οταν εμφανιζεται το lag που αναφερεις. Σερνεις τον κερσορα του ποντικιου επανω στο spike που σ ενδιαφερει και βλεπεις ποια διεργασια ειναι υπευθυνη. Στη συνεχεια πηγαινεις στο κεντρικο παραθυρο του προγραμματος (αυτο με ολη τη λιστα των διεργασιων) και ελεγχεις (double click) τι παιζει με την συγκεκριμενη που εντοπισες πριν.

Αντιστοιχα lags μπορουν να δημιουργουνται και απο σκληρο δισκο, (just a thought αν και προτρεχω)

[Hydra]

Οκ δεν βλέπω κάτι ύποπτο τώρα στα spikes, μπορεί να είναι και ο Google Chrome.

[MENTION=507]Gi0[/MENTION] πόσα άπειρα ευχαριστώ να πω !!!

Έσβησα και τα αρχεία και τώρα θα δούμε από αύριο και έπειτα.

Από την Κυριακή βασανίζομαι.

[Gi0]

Επανερχομαι με την περαιτερω αναλυση που ανεφερα στο προηγουμενο ποστ.

Απ οτι φαινεται ο στοχος του συγκεκριμενου malware ηταν η αυξηση της επισκεψιμοτητας μπολικων sites οπου μεταξυ αλλων υπαρχει ενα live feed στο dailymotion, ενα site γνωριμιων, ενα pay per click και αλλες αντιστοιχες, γεματες "χρησιμοτητα" σελιδες. Παραθετω μονο το link του dailymotion και το αντιστοιχο link που χρησιμοποιει μεσω καποιου url shortener: ht*p://www.dailymotion.com/video/x117o8l_pilulle_videogames και ht*p://tiny.cc/i57i2w.

Εαν τυχον ενδιαφερεται κανεις για τα υπολοιπα, ας μου στειλει ενα pm, για ευνοητους λογους δεν τα ποσταρω εδω.

Επισης οι περιπου 140 IPs με τις οποιες συνδεεται (νομιμες και μη), μαζι με το DNS record τους.

tiny.cc	66.219.31.108
www.dailymotion.com	195.8.215.136
www.cleverdate.com	184.107.161.98
cleverdate.com	184.107.161.98
static1.dmcdn.net	93.184.220.75
www.caprewards.com	173.201.3.80
urs.microsoft.com	157.55.239.248
fonts.googleapis.com	173.194.70.95
themes.googleusercontent.com	173.194.39.234
connect.facebook.net	2.18.95.139
pagead2.googlesyndication.com	173.194.39.217
netdna.cleverdate.com	108.161.189.3
translate.google.com	193.92.133.34
caprewards-cleverdatecom.netdna-ssl.com	108.161.189.3
s2.dmcdn.net	93.186.137.154
platform.twitter.com	68.232.35.139
certificates.starfieldtech.com	182.50.136.238
crl.usertrust.com	178.255.83.2
crl.comodoca.com	178.255.83.2
googleads.g.doubleclick.net	173.194.39.237
b.scorecardresearch.com	93.186.137.138
www.google-analytics.com	193.92.133.39
crl.starfieldtech.com	182.50.136.238
24m.nuggad.net	94.198.59.134
fpdownload2.macromedia.com	93.186.137.146
cdn.visiblemeasures.com	95.172.71.56
ad.auditude.com	66.235.148.88
24media.gr	87.238.36.36
static.ak.facebook.com	93.186.137.137
s-static.ak.facebook.com	2.18.82.110
www.public-trust.com	64.18.20.10
s1.dmcdn.net	93.184.220.75
www.facebook.com	31.13.81.49
logw312.ati-host.net	62.161.94.220
crl.omniroot.com	64.18.21.1
optimized-by.rubiconproject.com	31.186.225.23
svrsecure-g3-crl.verisign.com	23.50.181.163
p.twitter.com	2.23.113.224
twitter.com	199.16.156.6
audience.visiblemeasures.com	64.95.73.7
vast.bp3853389.btrll.com	54.228.148.55
ads.cpxinteractive.com	37.252.170.29
static.ak.fbcdn.net	93.186.137.139
evsecure-crl.verisign.com	23.50.181.163
ib.adnxs.com	37.252.170.44
cdn.api.twitter.com	2.23.113.224
cdn.adnxs.com	93.186.137.168
u-ads.adap.tv	216.52.92.23
tap2-cdn.rubiconproject.com	93.186.137.162
user.lucidmedia.com	184.73.135.14
cm.netseer.com	23.23.209.166
match.rtbidder.net	95.211.235.225
um.eqads.com	173.245.2.213
pixel.rubiconproject.com	31.186.225.24
translate.googleapis.com	173.194.70.95
search.spotxchange.com	5.79.11.194
caprewards.com	173.201.3.80
go.microsoft.com	65.55.58.195
static.getclicky.com	141.101.115.10
certificates.godaddy.com	182.50.136.237
od2.visiblemeasures.com	64.95.73.13
in.getclicky.com	198.145.13.24
ieonline.microsoft.com	204.79.197.200
crl.godaddy.com	182.50.136.237
rtb.tubemogul.com	46.137.87.196
www.bing.com	93.186.137.160
dailymotion.cdn.auditude.com	68.232.35.169
redir.adap.tv	93.186.137.154
ads.adap.tv	216.52.92.23
stream-19.vty.dailymotion.com	188.65.125.145
optimizedby.brealtime.com	68.67.185.171
view.atdmt.com	94.245.121.177
tap.rubiconproject.com	69.25.24.26
cm.g.doubleclick.net	173.194.39.249
rubicon.admailtiser.com	5.10.74.2
i.w55c.net	81.22.38.155
cdn.atdmt.com	93.186.137.162
pixel.invitemedia.com	108.170.206.152
stream-16.vty.dailymotion.com	188.65.125.133
shim.btrll.com	54.230.27.203
b.voicefive.com	93.186.137.139
k.tlm100.net	91.217.135.128
pix.btrll.com	184.73.212.128
swf.mixpo.com	93.184.221.96
pageurl.btrll.com	54.230.26.219
geo-errserv.btrll.com	79.125.84.104
a.scorecardresearch.com	4.71.251.71
c.tlm100.net	95.140.236.144
cache.btrll.com	54.230.24.2
p.rfihub.com	193.0.160.244
rtd.tubemogul.com	23.21.204.69
r.turn.com	46.228.164.11
eubrxserv.btrll.com	46.137.99.223
rc.rlcdn.com	107.23.147.63
pageurl-brx.btrll.com	205.251.209.181
vw.btrll.com	54.230.26.211
rtb.eyereturn.com	107.6.40.252
tags.bluekai.com	173.192.220.64
ar.voicefive.com	66.119.33.171
pixel.quantserve.com	95.172.94.65
11fbf7d9--a1--k.tlm100.net	23.19.44.162
www.mixpo.com	69.46.36.183
bid.g.doubleclick.net	173.194.39.249
ad.doubleclick.net	173.194.39.251
rbp.mxptint.net	64.20.243.252
ad.yieldmanager.com	217.163.21.39
s0.2mdn.net	173.194.39.220
rubicon-match.dotomi.com	67.217.162.166
dtm.personalizationmall.com	67.217.162.166
c124375.conv.btrll.com	165.254.31.164
cti.w55c.net	93.184.220.20
x.bidswitch.net	5.9.12.209
pixel.everesttech.net	66.117.25.36
track.adform.net	85.235.246.2
loadm.exelator.com	72.251.243.38
bcp.crwdcntrl.net	54.246.196.221
adadvisor.net	70.42.33.241
sync.adap.tv	74.217.78.184
dx3723.tinyurl.com	64.62.243.92
idsync.rlcdn.com	107.23.82.100
pix.bit.ly	107.20.193.157
e.nexac.com	107.23.219.192
su.addthis.com	206.165.250.92
p.acxiom-online.com	184.73.234.174
d.p-td.com	46.228.164.14
r.casalemedia.com	2.18.83.167
ad.360yield.com	54.217.239.152
ih.adscale.de	2.23.114.116
tags.w55c.net	37.58.84.104
ad.crwdcntrl.net	176.34.132.146
load.s3.amazonaws.com	205.251.243.0
pixel2368.everesttech.net	66.117.25.36
d.xp1.ru4.com	199.38.165.156
ads.heias.com	83.169.59.64
ads.p161.net	176.34.191.4
rc.d.chango.com	173.193.240.138
cookiex.ngd.yahoo.com	217.163.21.39
m.xp1.ru4.com	199.38.165.155
um.simpli.fi	173.192.208.206
rubicon-rtb.p.veruta.com	75.98.67.232
map.media6degrees.com	204.2.197.201
ad.turn.com	46.228.164.11
adx.adnxs.com	37.252.170.17
cdn.turn.com	93.186.137.138
cm.ac3.msn.com	131.253.40.48
m.adnxs.com	68.67.179.170
r.254a.com	176.34.225.212
i.ctnsnet.com	109.239.110.104
rp.gwallet.com	213.252.151.61
ads.lfstmedia.com	173.234.153.74
a.triggit.com	217.72.242.212
sync.mathtag.com	74.121.138.232
connexity.net	69.89.93.5
ajax.googleapis.com	173.194.70.95

Τα αρχεια που "ριχνει" στο συστημα

Dropped Files

• 
  searchindexer.exe
  SearchIndex.exe
  SearchIndex.exe.lnk
  

Και η συμπεριφορα του μολις εκτελεστει (VM)

Behavior Summary

Files

PIPE\lsarpc

C:\DOCUME~1\Gi0\LOCALS~1\Temp\searchindexer.exe

C:\WINDOWS\system32\msctfime.ime

C:\WINDOWS\win.ini

C:\WINDOWS\Registration\R00000000000b.clb

C:\DOCUME~1\Gi0\LOCALS~1\Temp\RarSFX0

__tmp_rar_sfx_access_check_649953

SearchIndex.exe

FDC#GENERIC_FLOPPY_DRIVE#6&1435b2e2&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

MountPointManager

IDE#CdRomNECVMWar_VMware_IDE_CDR10_______________1.00____#3031303030303030303030303030303030303130#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

STORAGE#Volume#1&30a96598&0&SignatureA903A903Offset7000Length4FF7B1000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

C:\Documents and Settings

C:\Documents and Settings\Gi0

C:\Documents and Settings\Gi0\Start Menu

C:\Documents and Settings\Gi0\Start Menu\desktop.ini

C:\Documents and Settings\Gi0\Start Menu\Programs

C:\Documents and Settings\Gi0\Start Menu\Programs\desktop.ini

C:\Documents and Settings\Gi0\Start Menu\Programs\Startup

C:\Documents and Settings\Gi0\Start Menu\Programs\Startup\desktop.ini

C:\DOCUME~1

C:\Documents and Settings\Gi0\LOCALS~1

C:\Documents and Settings\Gi0\Local Settings\Temp

C:\Documents and Settings\Gi0\Local Settings\Temp\RarSFX0

C:\Documents and Settings\Gi0\Local Settings\Temp\RarSFX0\SearchIndex.exe

C:\Documents and Settings\Gi0\My Documents

C:\Documents and Settings\Gi0\My Documents\desktop.ini

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Documents

C:\Documents and Settings\All Users\Documents\desktop.ini

C:\Documents and Settings\All Users\Desktop

C:\

PIPE\srvsvc

C:\Documents and Settings\Gi0\Local Settings\Temp\RarSFX0\

C:\Documents and Settings\Gi0\Start Menu\Programs\Startup\SearchIndex.exe.lnk

C:\Documents and Settings\All Users\Start Menu

C:\Documents and Settings\All Users\Start Menu\desktop.ini

C:\Documents and Settings\All Users\Application Data

C:\Documents and Settings\All Users\Application Data\desktop.ini

C:\Documents and Settings\Gi0\Application Data

C:\Documents and Settings\Gi0\Application Data\desktop.ini

C:\WINDOWS

C:\WINDOWS\system32

C:\Program Files

C:\DOCUME~1\Gi0\LOCALS~1\Temp\RarSFX0\SearchIndex.exe

C:\WINDOWS\system32\SHELL32.dll

C:\WINDOWS\system32\stdole2.tlb

Παραθετω και τα hashes του, ολο και καποιος θα το ψαξει μεσω Google

MD5 2d583a9ffaaf7e259f201adebc01d30e

SHA1 d5c7bc3b9f35b974fd1628804906aaea7b6ac7b6

SHA256 0aacb55e17acdfb94c362965fb86eac3ac71ebe7f606a3b809a719a6e30450ac

O λογος που δεν εβλεπες τα παραθυρα του Internet Explorer ενω αυτος ετρεχε κανονικα, ηταν η χρηση του "-embedding" command line option που χρησιμοποιειται. Το οποιο εχει σαν στοχο αυτο.

Cheers:)

[dimgr]

Συγχαρητήρια στον @Gi0 για την εξαιρετική ανάλυσή του. Μια παρατήρηση έχω να κάνω και μια ερώτηση.

Η παρατήρηση αφορά την απενεργοποίηση του IE, που αν και εγώ πολλές φορές σκέφτηκα να κάνω, δυστυχώς δεν ενδείκνυται, καθώς κάποια πολύ λίγα sites ΔΕΝ δουλεύουν σωστά με τον Firefox. Με πρώτο και καλύτερο το site της ΓΓΠΣ, όπου δεν μπορείτε να φανταστείτε τι τράβηξα κάνοντας troubleshooting επί δύο ώρες, προσπαθώντας να υποβάλω την φορολογική μου δήλωση, ώσπου αντιλήφθηκα ότι απλά θέλει ΙΕ για να δουλέψει, αν και λένε ότι δουλεύει και με Firefox.

Η ερώτηση είναι προς τον Gi0. Την ανάλυση του τι κάνει το πρόγραμμα, με το Process Monitor την έκανες; Παλιότερα είχα προσπαθήσει και εγώ να βρω τι κάνει ένα exe, και είχα καταλήξει στη χρήση αυτου του προγράμματος.

[Hydra]

[MENTION=507]Gi0[/MENTION] καταπληκτική η δουλειά σου!

Σε ευχαριστώ και προσωπικά. Το σύστημα λειτουργεί ομαλά κι ανενόχλητα πάλι.

[Gi0]

Η ερώτηση είναι προς τον Gi0. Την ανάλυση του τι κάνει το πρόγραμμα, με το Process Monitor την έκανες; Παλιότερα είχα προσπαθήσει και εγώ να βρω τι κάνει ένα exe, και είχα καταλήξει στη χρήση αυτου του προγράμματος.

Ο Process Monitor κανει οντως για τη δουλεια. Με τα καταλληλα φιλτρα φυσικα, καθως μαζευει τονους πληροφοριας οπως θα διαπιστωσες και ο ιδιος. Οι πληροφοριες που εδωσα στο ποστ μου μπορουν να εντοπιστουν με τον Process Monitor, το Autoruns και τον Process Explorer Με σωστη χρηση, ολοκληρο Stuxnet μπορουν να εντοπισουν?:turn:

That said, δεν εκανα μονο εντοπισμο του συγκεκριμενου αλλα και αναλυση του exe, την οποια δεν περιλαμβανω στο προηγουμενο post. Πχ και

Imports

Library COMCTL32.dll:

• 0x41402c - InitCommonControlsEx

Library SHLWAPI.dll:

• 0x4141c4 - SHAutoComplete

Library KERNEL32.dll:

• 0x414068 - DeleteFileW

• 0x41406c - DeleteFileA

• 0x414070 - CreateDirectoryA

• 0x414074 - CreateDirectoryW

• 0x414078 - FindClose

• 0x41407c - FindNextFileA

• 0x414080 - FindFirstFileA

• 0x414084 - FindNextFileW

• 0x414088 - FindFirstFileW

• 0x41408c - GetVersionExW

• 0x414090 - GetFullPathNameA

• 0x414094 - GetFullPathNameW

• 0x414098 - MultiByteToWideChar

• 0x41409c - GetModuleFileNameW

• 0x4140a0 - FindResourceW

• 0x4140a4 - GetModuleHandleW

• 0x4140a8 - HeapAlloc

• 0x4140ac - GetProcessHeap

• 0x4140b0 - HeapFree

• 0x4140b4 - HeapReAlloc

• 0x4140b8 - CompareStringA

• 0x4140bc - ExitProcess

• 0x4140c0 - GetTickCount

• 0x4140c4 - FreeLibrary

• 0x4140c8 - GetProcAddress

• 0x4140cc - LoadLibraryW

• 0x4140d0 - GetCurrentProcessId

• 0x4140d4 - SetFileAttributesW

• 0x4140d8 - GetNumberFormatW

• 0x4140dc - DosDateTimeToFileTime

• 0x4140e0 - GetDateFormatW

• 0x4140e4 - GetTimeFormatW

• 0x4140e8 - FileTimeToSystemTime

• 0x4140ec - FileTimeToLocalFileTime

• 0x4140f0 - ExpandEnvironmentStringsW

• 0x4140f4 - WaitForSingleObject

• 0x4140f8 - Sleep

• 0x4140fc - GetExitCodeProcess

• 0x414100 - GetTempPathW

• 0x414104 - MoveFileExW

• 0x414108 - UnmapViewOfFile

• 0x41410c - MapViewOfFile

• 0x414110 - GetCommandLineW

• 0x414114 - CreateFileMappingW

• 0x414118 - SetEnvironmentVariableW

• 0x41411c - OpenFileMappingW

• 0x414120 - LocalFileTimeToFileTime

• 0x414124 - SystemTimeToFileTime

• 0x414128 - GetSystemTime

• 0x41412c - WideCharToMultiByte

• 0x414130 - CompareStringW

• 0x414134 - IsDBCSLeadByte

• 0x414138 - GetCPInfo

• 0x41413c - GlobalAlloc

• 0x414140 - SetCurrentDirectoryW

• 0x414144 - SetFileAttributesA

• 0x414148 - GetFileAttributesW

• 0x41414c - GetFileAttributesA

• 0x414150 - WriteFile

• 0x414154 - GetStdHandle

• 0x414158 - ReadFile

• 0x41415c - GetCurrentDirectoryW

• 0x414160 - CreateFileW

• 0x414164 - CreateFileA

• 0x414168 - GetFileType

• 0x41416c - SetEndOfFile

• 0x414170 - SetFilePointer

• 0x414174 - FlushFileBuffers

• 0x414178 - MoveFileW

• 0x41417c - SetFileTime

• 0x414180 - GetCurrentProcess

• 0x414184 - CloseHandle

• 0x414188 - SetLastError

• 0x41418c - GetLastError

• 0x414190 - GetLocaleInfoW

Ολα αυτα (για να καταληξω), μεσω linux και μιας VM που ετρεχε μεσα σ αυτο, με εργαλεια σαν το Yara, ssdeep, iptables rules, wireshark, fuu, κλπ. Ενας συνδυασμος δηλαδη. Σε περιπτωση που ενδιαφερεσαι, κανε ενα κοπο και ριξε μια ματια στο blog μου, μεχρι το τελος του μηνα θελω να ανεβασω ενα αναλυτικο αρθρο επι του θεματος

[MENTION=507]Gi0[/MENTION] καταπληκτική η δουλειά σου!

Σε ευχαριστώ και προσωπικά. Το σύστημα λειτουργεί ομαλά κι ανενόχλητα πάλι.

Να σαι καλα

[dimgr]

Ο Process Monitor κανει οντως για τη δουλεια. Με τα καταλληλα φιλτρα φυσικα, καθως μαζευει τονους πληροφοριας οπως θα διαπιστωσες και ο ιδιος. Οι πληροφοριες που εδωσα στο ποστ μου μπορουν να εντοπιστουν με τον Process Monitor, το Autoruns και τον Process Explorer Με σωστη χρηση, ολοκληρο Stuxnet μπορουν να εντοπισουν?:turn:

That said, δεν εκανα μονο εντοπισμο του συγκεκριμενου αλλα και αναλυση του exe, την οποια δεν περιλαμβανω στο προηγουμενο post. Πχ και

Imports

Library COMCTL32.dll:

• 0x41402c - InitCommonControlsEx

Library SHLWAPI.dll:

• 0x4141c4 - SHAutoComplete

Library KERNEL32.dll:

• 0x414068 - DeleteFileW

• 0x41406c - DeleteFileA

• 0x414070 - CreateDirectoryA

• 0x414074 - CreateDirectoryW

• 0x414078 - FindClose

• 0x41407c - FindNextFileA

• 0x414080 - FindFirstFileA

• 0x414084 - FindNextFileW

• 0x414088 - FindFirstFileW

• 0x41408c - GetVersionExW

• 0x414090 - GetFullPathNameA

• 0x414094 - GetFullPathNameW

• 0x414098 - MultiByteToWideChar

• 0x41409c - GetModuleFileNameW

• 0x4140a0 - FindResourceW

• 0x4140a4 - GetModuleHandleW

• 0x4140a8 - HeapAlloc

• 0x4140ac - GetProcessHeap

• 0x4140b0 - HeapFree

• 0x4140b4 - HeapReAlloc

• 0x4140b8 - CompareStringA

• 0x4140bc - ExitProcess

• 0x4140c0 - GetTickCount

• 0x4140c4 - FreeLibrary

• 0x4140c8 - GetProcAddress

• 0x4140cc - LoadLibraryW

• 0x4140d0 - GetCurrentProcessId

• 0x4140d4 - SetFileAttributesW

• 0x4140d8 - GetNumberFormatW

• 0x4140dc - DosDateTimeToFileTime

• 0x4140e0 - GetDateFormatW

• 0x4140e4 - GetTimeFormatW

• 0x4140e8 - FileTimeToSystemTime

• 0x4140ec - FileTimeToLocalFileTime

• 0x4140f0 - ExpandEnvironmentStringsW

• 0x4140f4 - WaitForSingleObject

• 0x4140f8 - Sleep

• 0x4140fc - GetExitCodeProcess

• 0x414100 - GetTempPathW

• 0x414104 - MoveFileExW

• 0x414108 - UnmapViewOfFile

• 0x41410c - MapViewOfFile

• 0x414110 - GetCommandLineW

• 0x414114 - CreateFileMappingW

• 0x414118 - SetEnvironmentVariableW

• 0x41411c - OpenFileMappingW

• 0x414120 - LocalFileTimeToFileTime

• 0x414124 - SystemTimeToFileTime

• 0x414128 - GetSystemTime

• 0x41412c - WideCharToMultiByte

• 0x414130 - CompareStringW

• 0x414134 - IsDBCSLeadByte

• 0x414138 - GetCPInfo

• 0x41413c - GlobalAlloc

• 0x414140 - SetCurrentDirectoryW

• 0x414144 - SetFileAttributesA

• 0x414148 - GetFileAttributesW

• 0x41414c - GetFileAttributesA

• 0x414150 - WriteFile

• 0x414154 - GetStdHandle

• 0x414158 - ReadFile

• 0x41415c - GetCurrentDirectoryW

• 0x414160 - CreateFileW

• 0x414164 - CreateFileA

• 0x414168 - GetFileType

• 0x41416c - SetEndOfFile

• 0x414170 - SetFilePointer

• 0x414174 - FlushFileBuffers

• 0x414178 - MoveFileW

• 0x41417c - SetFileTime

• 0x414180 - GetCurrentProcess

• 0x414184 - CloseHandle

• 0x414188 - SetLastError

• 0x41418c - GetLastError

• 0x414190 - GetLocaleInfoW

Ολα αυτα (για να καταληξω), μεσω linux και μιας VM που ετρεχε μεσα σ αυτο, με εργαλεια σαν το Yara, ssdeep, iptables rules, wireshark, fuu, κλπ. Ενας συνδυασμος δηλαδη. Σε περιπτωση που ενδιαφερεσαι, κανε ενα κοπο και ριξε μια ματια στο blog μου, μεχρι το τελος του μηνα θελω να ανεβασω ενα αναλυτικο αρθρο επι του θεματος

Να σαι καλα

Ευχαριστώ πολύ για την απάντηση! Θα ρίξω μια ματιά στο blog, ενδιαφέρομαι! Αν και οι γνώσεις μου επ' ουδενί φθάνουν τις δικές σου, από χόμπι ασχολούμαι μόνο. Για παράδειγμα δεν κατάλαβα τίποτα από τον πίνακα που έβαλες!

Με το process monitor πριν κανά δυο χρόνια έψαχνα να βρω αν ένα exe είναι ιός, επειδή το μεν Avast το έδινε ως malware, το δε NOD32 όχι, οπότε ήθελα να δω τι κάνει όταν το έτρεχες. Φυσικά έβαλα φίλτρα (από όσο θυμάμαι το όνομα του exe) και τελικά δεν βρήκα κάτι ύποπτο, με τις γνώσεις που έχω. Εννοείτει σε VM γινόταν αυτό.

Να 'σαι καλά για τις πληροφορίες που μοιράζεσαι μαζί μας!