un amico mi ha chiamato oggi perché ha aperto un allegato di un'email. Era un file exe con doppia zip e malware:
Ho iniziato ad analizzare il file: prima con virustotal, poi con radare2 e la versione gratuita di IDA-Pro. Ho provato a smontare & decompilare il file, ma la decompilazione non è riuscita più volte. Ho creato una macchina virtuale e ho provato a fare un'analisi dinamica del malware ovvio, ma sembra che abbia rilevamento VM e debugging.
Virustotal mi ha dato diversi risultati: il mio campione sembra essere nuovo; solo 2 motori l'hanno rilevato come malware. Ora - qualche ora dopo altri motori hanno trovato "qualcosa":
Ad-Aware Gen:Variant.Razy.64218
Arcabit Trojan.Razy.DFADA
Cyren W32/Trojan.KQSF-4006
ESET-NOD32 Win32/TrojanDownloader.Nymaim.BA
GData Win32.Trojan-Downloader.Nymaim.3J4DDZ
eScan Gen:Variant.Razy.64218
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen
Ma quale malware ho qui?
Virustotal dice che il malware apre / legge / altera i seguenti file:
C:e1495fc92e7062775399d62cc2a7bc62f54955cd8ce4f8d9af61c9b71b4eadd
\.\PIPE\lsarpc
C:\WINDOWS\system32\winsock.dll
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\netmsg.dll
rpcrt4.dll
shlwapi.dll
version.dll
shell32.dll
user32.dll
advapi32.dll
ntdll.dll
kernel32.dll
e avvia il seguente processo:
C:\WINDOWS\system32\drwtsn32 -p 668 -e 172 -g
Dopo lo smontaggio ho trovato alcuni indizi che il malware utilizza probabilmente HttpOPenRequestA tramite wininet, quindi potrebbe provare a comunicare con Internet.
Ho trovato molte cose - ma:
Come posso provare che il malware è stato eseguito e infetto il sistema?
Ovviamente un passo è cercare i file che sono stati creati durante il possibile tempo di esecuzione. Ma dovrebbe essere possibile spoofare i timestamp, quindi confrontare i file sul possibile pc infetto con alcuni file puliti via hashsums è forse il modo migliore.
Ma dove posso trovare "file puliti"? O c'è un modo migliore per provare l'infezione?
Grazie e amp; evviva!
Modifica:
Le domande poste & risposta qui sono buoni come una soluzione per i sistemi infetti . Ma la mia domanda è: come posso scoprire se il mio sistema è compromesso o non particolarmente per questo nuovo tipo di malware. Non può essere una soluzione per colpire ogni sistema come prevenzione ....