Nieraz zdarzało mi się pobrać parę plików różnego typu malware’u do analizy i składować to wszystko w jednej lokalizacji, a że domyślnie nazwy plików były identyczne z wartością hash’y tychże plików to sytuacja wyglądała następująco:
C:malware> dir
2008-01-10 19:31 2 610 566 41B12A4CD403B981B93E23CC26869AB8
2008-01-10 13:38 4 934 004 593efc8b80c604aed948cd93cf11086f
2008-01-10 14:17 242 705 8cae3ec70d96040e1d49a2fcdd497280
2008-01-10 14:07 4 852 142 95A22B862211BD36FBE72615BF79B37C
2008-01-10 14:46 1 212 334 a1a2847f88595e190d0709124d77e4a7
2008-01-10 13:53 2 276 205 B0524B8C909ABED7E648250B80745A88
2008-01-10 14:15 4 836 120 E3E6662D406BA9B097CBB802C7A1D2E6
2008-01-10 19:41 2 153 886 F2EFB17B7C45388D566E04CC9DE7E924
Po dłuższej chwili skupienia nad jednym z plików chcąc znaleźć w pozostałych wybrany malware pojawiał się problem pod tytułem np.”Teraz który to był Sality? hymmm”.
Nie pozostawało wtedy nic innego jak wyszukać malware po hash’u na VT, no ale przy odpalonych paru virtualynch maszynach ,jakimś IDE ,paru aktywnych komunikatorach, itp. nie uśmiechało mi się zbytnio odpalać Opery( tak tak wole Opere od FF :P) z 10-15 zakładkami :P. Chciałem mięć coś bardziej „user friendly”.
I tak narodził się pomysł stworzenia VTBot’a o wdzięcznym imieniu Esmeralda ;).
Na chwilę obecna dostępne są dwie(a tak naprawdę jedna) komendy:
!help
!hash hash_value
,gdzie hash_value może przybierać wartości MD5|SHA1|SHA256.
Na powyższym screen’e możecie zaobserwować rezultat wykonania się komendy !hash
jak i przykładową konwersacje ,,,tak tak Esmeralda jest wyposażona w „AI” :D.
Wszelkie testy jak i nękania bot’a 😛 można przeprowadzać po dodaniu go do listy kontaktów w MSN’e.
MSN ID: esmeralda [ małpa ] virustotal [dot] com
Wszelkie sugestie, opinie i spostrzeżenia mile widziane ;).Pamiętajcie również ,że jest to wersja beta:P.
PS: Pojawiła się prośba, która wiedziałem, że wcześniej czy późnij wystąpi ,odnośnie udostępnieniu kodu źródłowego „GG injectora”. Szczerze to nadal mam mieszane uczucia co do publikacji tego skrawka kodu, dlatego zapraszam do dyskusji w komentarzach w poprzednim poście.
Recent Comments