Paweł Goleń, blog

Moje polowanie na malware zakończyło się sukcesem. Z pośród 30 unikalnych próbek trzeba wybrać jakąś, od której należy zacząć...

Unikalne próbki

Tak tak, mój wystawiony honeypot złapał w ciągu kilku godzin 30 unikalnych próbek malware. Oczywiście trzeba pamiętać, że unikalność malware w tym wypadku oznacza 30 plików o różnych sumach kontrolnych MD5, ale mogą być to warianty tego samego wirusa.

Starcie pierwsze: ClamAV

Na 30 próbek ClamAV poradził sobie z 25. Rozpoznane zostały:

• Trojan.SdBot-4693,
• Exploit.DCOM.Gen,
• Trojan.Agent-20903,
• Trojan.Vanbot (trzy warianty),
• W32.Virut (dziewięć wariantów),

Starcie drugie: VirusTotal

Postanowiłem jednak bliżej się przyjrzeć tym plikom, z którymi ClamAV sobie nie poradził. Sprawdziłem je przy pomocy VirusTotal. Wszystkie próbki zostały rozpoznane i wszystkie były zgłaszane wcześniej:

• 4299fc0373a81513d8ee55d0d63cfc1e
• 4a64e1cc644a34a2859d52f61a8f021e
• 948f5157c6aa50f6e4cc3f8fd7e9e26b
• a0aa9c441ed245cea5f17f5588e1a256
• c1ab3a6d0df4667de52dac0c7b4a1595

Oczywiście antywirusy są dynamiczne, kolejna porcja sygnatur zmienia sytuację. W chwili obecnej przez ClamAV rozpoznawane są dodatkowo:

• 4299fc0373a81513d8ee55d0d63cfc1e jako Worm.Kolab-185,
• c1ab3a6d0df4667de52dac0c7b4a1595 jako Worm.Kolab-173,

...i najbardziej puszysty jest...

Do dalszej hodowli wybrałem próbkę oznaczoną jako c1ab3a6d0df4667de52dac0c7b4a1595 , ponieważ jest to stosunkowo nowy wariant robactwa. A przynajmniej VirusTotal twierdzi, że pierwszy raz próbka ta została zgłoszona 05.17.2008 o 09:09:05, znaczy się dzisiaj.

Oryginał tego wpisu dostępny jest pod adresem Tamagotchi II: konkurs piękności

Autor: Paweł Goleń