Infezione iLivid / analisi comportamento iLivid

2

Sebbene molti sondaggi e rapporti siano stati condotti su iLivid da molti analizzatori di malware, ho deciso di ispezionare iLivid indipendentemente dalla ricerca precedente.

Ho letto molti rapporti su iLivid ma quando procedo all'indagine, scarica iLivid da iLivid.com il suo dominio ufficiale. Quindi, ho le seguenti domande dalla mia osservazione:

1) Non ho osservato alcun comportamento malevolo da quello che ho letto dai rapporti, ad esempio: browser hijacking, modifica delle impostazioni DNS, modifica della homepage, installazione di componenti aggiuntivi aggiuntivi, .... e principalmente posso dire che non l'ho fatto vedere qualsiasi comportamento malevolo. Quindi, ho indovinato forse c'è una differenza tra la versione di iLivid dal suo dominio ufficiale e la versione che gli utenti vengono infettati attraverso collegamenti inventati ingannevoli. Forse il primo è sicuro e il secondo è malizioso. E 'possibile e una supposizione ragionevole?

domanda principale : se ci sono versioni sicure e non sicure di iLivid, come posso infettare il mio sistema con iLivid ??? !!

2) È naturale che il malware si comporti in modo diverso a seconda del contesto? Perché quando ho osservato un rapporto, è stata segnalata un'ampia varietà di brutti lavori.

3) iLivid si presenta come prodotto di Banadoo media inc. Ci sono altre app che si presentano come prodotto di questa azienda. Non ho trovato nulla su questa azienda. Tutte le app di questa azienda sono illecite e sospette nei rapporti. Penso che sia solo una compagnia nominale e conosci qualcosa di questa azienda?

4) Quando eseguo Babylon e IDM.exe mentre iLivid esegue iLivid due moduli .dll non correlati uno da Babylon che è Captlib.dll e un altro da IDM.exe che è dmmkb.dll . Non so come analizzare questo comportamento. Aiutatemi se potete!

    
posta Mohammadreza 19.01.2016 - 16:40
fonte

1 risposta

2

Diversi siti classificano iLivid come PUP piuttosto che come vero e proprio malware. La definizione in parte recita:

Such software may use an implementation that can compromise privacy or weaken the computer's security. Companies often bundle a wanted program download with a wrapper application and may offer to install an unwanted application, and in some cases without providing a clear opt-out method.

La tua affermazione di "Posso dire che non ho visto alcun comportamento malevolo." sembra insolito - ho trovato una serie di rapporti a partire dalla fine del 2016 che indicano un reindirizzamento della home page e l'installazione di una barra degli strumenti era prevedibile.

I rapporti suggeriscono anche che un keylogger è stato eliminato con iLivid, e il tuo accenno alla scoperta di Captlib.dll , a prima vista, sembra suggestivo è successo sul tuo sistema - potrebbe essere al momento dell'installazione, iLivid era focalizzato in modalità invisibile (anche se il loro modello di reddito relativo alla pubblicità, sembra un po 'insolito).

Se fossi in te, penso che prenderei in considerazione l'esecuzione di un'acquisizione di pacchetti alla ricerca di attività automatizzate e, in particolare, di attività di C & C / exfiltration. Potresti trovare più facile fare una prima corsa con qualcosa come Cuckoo Sandbox , come mezzo per testare se è possibile replicare i rapporti ottenuti sei curioso in primo luogo.

    
risposta data 26.03.2017 - 16:33
fonte

Leggi altre domande sui tag