Moje polowanie na malware zakończyło się sukcesem. Z pośród 30 unikalnych próbek trzeba wybrać jakąś, od której należy zacząć...
Tamagotchi II: konkurs piękności
Unikalne próbki
Tak tak, mój wystawiony honeypot złapał w ciągu kilku godzin 30 unikalnych próbek malware. Oczywiście trzeba pamiętać, że unikalność malware w tym wypadku oznacza 30 plików o różnych sumach kontrolnych MD5, ale mogą być to warianty tego samego wirusa.
Starcie pierwsze: ClamAVNa 30 próbek ClamAV poradził sobie z 25. Rozpoznane zostały:
- Trojan.SdBot-4693,
- Exploit.DCOM.Gen,
- Trojan.Agent-20903,
- Trojan.Vanbot (trzy warianty),
- W32.Virut (dziewięć wariantów),
Postanowiłem jednak bliżej się przyjrzeć tym plikom, z którymi ClamAV sobie nie poradził. Sprawdziłem je przy pomocy VirusTotal. Wszystkie próbki zostały rozpoznane i wszystkie były zgłaszane wcześniej:
- 4299fc0373a81513d8ee55d0d63cfc1e
- 4a64e1cc644a34a2859d52f61a8f021e
- 948f5157c6aa50f6e4cc3f8fd7e9e26b
- a0aa9c441ed245cea5f17f5588e1a256
- c1ab3a6d0df4667de52dac0c7b4a1595
Oczywiście antywirusy są dynamiczne, kolejna porcja sygnatur zmienia sytuację. W chwili obecnej przez ClamAV rozpoznawane są dodatkowo:
- 4299fc0373a81513d8ee55d0d63cfc1e jako Worm.Kolab-185,
- c1ab3a6d0df4667de52dac0c7b4a1595 jako Worm.Kolab-173,
Do dalszej hodowli wybrałem próbkę oznaczoną jako c1ab3a6d0df4667de52dac0c7b4a1595, ponieważ jest to stosunkowo nowy wariant robactwa. A przynajmniej VirusTotal twierdzi, że pierwszy raz próbka ta została zgłoszona 05.17.2008 o 09:09:05, znaczy się dzisiaj.
Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic, być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych t
Przesłany: Jun 10, 20:54