MulTrojDisinfector



W poprzednim poście wspomniałem ,że napiszę parę słów o MulTrojDisinfector’e (dezynfektor plików multimedialnych zainfekowanych przez trojana GetCodec) i tak też się teraz stanie;).
Dlaczego go napisałem?
Zaczynając analizę GetCodec ,rozpocząłem oczywiście od sprawdzenia jak się sprawy mają w sieci.Standardowo, „kopia kopią kopię pogania” :D, masa news’ów a treść praktycznie ta sama.
To co dało się zaobserwować na różnych forach internetowych to ,że są zainfekowani i nie za bardzo wiedzą jak sobie poradzić z tym problemem. Dlatego właśnie powstał
mały, darmowy MulTrojDisinfector ;).
Jeżeli chodzi o sama budowę aplikacji to składa się ona z trzech głównych części:
– silnika wyszukującego podatne pliki
– dezynfektora
– generatora raportów
Pisząc dezynfektor starałem się go zaplanować przyszłościowo i tak dałem możliwość użytkownikowi dodawania sygnatur złośliwych skryptów do pliku konfiguracyjnego, który znajduje się katalogu %temp%dis_signatures.ini.
Domyślnie plik zawiera jedna sygnaturę:
[http://isvbr.net?t=3]
,bo tylko taki url udało mi się zaobserwować w zainfekowanych plikach podczas mojego dochodzenia.
Poniżej dwa screen shoty, jeden prezentujący MulTrojDisinfector, a kolejny raport końcowy:



Aplikacje można pobrać stąd:MulTrojDisinfector
MD5…: 914adbbfaae6f87a6f758bf4ba1efd6d
SHA1..: 0861ed42ffc175c668f53050e22baa38d2c5ba04

Enjoy 😉

Posted in Aplikacja, Malware | Tagged , , , , , | Leave a comment

Analiza GetCodec


W lipcu bieżącego roku (2008) pojawił się w sieci trojan nazwany przez większość firm AV
GetCodec (jedynie Symantec się wyłamał i nazwał go niesamowicie intuicyjną nazwą
„Brisv” 😉 ) infekujący wybrane pliki multimedialne.
Wstając „rano” pewnego dnia ,zauważyłem w skrzynce mail od szefa zaczynający się od słów:“volunteer? ;)”. Oczywiście stałem się tym ochotnikiem ,a ja możecie się domyślać mail zawierał prośbę o szczegółową analizę wyżej wymienionego szkodnika. Nie ociągając się ani chwili, z własnej nie przymuszonej woli sporządziłem taką analizę, której rezultat ,możecie pobrać stąd: GetCodec Analysis.
Muszę przyznać ,że cały proces  począwszy od analizy do stworzenia dezynfektora
(o którym więcej później)  potoczył sie bez  żadnych zgrzytów ze względu na niski stopień zaawansowania trojana jak i brak dodatkowych utrudnień (zaciemnień kodu,detekcji VM ,itp).

[=]Zainteresowanie analizą[=]

Jako ,że informacje o malware’e tego typu zawsze odbijają się „szerokim łukiem”, tak tez było im tym razem  (chociaż muszę przyznać ,żę aż takiego zainteresowani się nie spodziewałem). Google dla wyrazów GetCodec hispasec Marcin wskazuje na około 251 wyników. IMO całkiem sporo ;).Chyba najbardziej zainteresowany rezultatem analizy był portal SearchSecurity.com ,który poprosił mnie o odpowiedź na pare dodatkowych pytań m.in.:
– stopień zaawansowania trojana
– ilość infekcji jaką zanotowaliśmy
(całość tego newsa znajduje się tutaj:Researcher disinfects multimedia Trojans).
To chyba na tyle ;).
Miłego czytania pdf’a.

Posted in Analiza, Malware | Tagged , , | Leave a comment

std::cout

dexter
Dzięki namową wielu osób jak i własnym obserwacją stwierdziłem „tak !warto!” i jak widać ,w końcu zmobilizowałem się do napisania pierwszego wpisu.
Jako ,że o sprawach organizacyjnych i przyszłościowych planach można dywagować godzinami ,postaram się ograniczyć w tym poście do maksymalnego minimum.
Czego na pewno możecie spodziewać się na tym blog’u?
No właśnie, jako że nie jestem zwolennikiem nakładania z góry określonej ramy na cokolwiek, to powiem tylko ,że NA PEWNO możecie spodziewać się:

    • (mniej) szczegółowej analizy malware’u, ciekawostek, bugów, interesujących kawałków kodu,etc.
    • informacji o aktualnych jak i dawnych projektach prowadzonych przeze mnie wartych uwagi,

    i wielu wielu innych zagadnień ,których tak naprawdę sam nie jestem wstanie przewidzieć na tę chwilę.
    Tyle w ramach wstępu,zapraszam do czytania ;).
    PS: Oczywiście czekam na wasze komentarze i sugestie odnośnie poruszanych tu tematów jak i samego blog’a.
    Pozdrawiam

    Posted in Ogólne | Tagged | Leave a comment