verifica se il malware ha alterato i file di sistema in windows [chiuso]

-3

un amico mi ha chiamato oggi perché ha aperto un allegato di un'email. Era un file exe con doppia zip e malware:

Ho iniziato ad analizzare il file: prima con virustotal, poi con radare2 e la versione gratuita di IDA-Pro. Ho provato a smontare & decompilare il file, ma la decompilazione non è riuscita più volte. Ho creato una macchina virtuale e ho provato a fare un'analisi dinamica del malware ovvio, ma sembra che abbia rilevamento VM e debugging.

Virustotal mi ha dato diversi risultati: il mio campione sembra essere nuovo; solo 2 motori l'hanno rilevato come malware. Ora - qualche ora dopo altri motori hanno trovato "qualcosa":

Ad-Aware    Gen:Variant.Razy.64218  
Arcabit     Trojan.Razy.DFADA   
Cyren       W32/Trojan.KQSF-4006    
ESET-NOD32  Win32/TrojanDownloader.Nymaim.BA    
GData       Win32.Trojan-Downloader.Nymaim.3J4DDZ   
eScan       Gen:Variant.Razy.64218  
Qihoo-360   HEUR/QVM20.1.0000.Malware.Gen

Ma quale malware ho qui?

Virustotal dice che il malware apre / legge / altera i seguenti file:

C:e1495fc92e7062775399d62cc2a7bc62f54955cd8ce4f8d9af61c9b71b4eadd 
\.\PIPE\lsarpc
C:\WINDOWS\system32\winsock.dll 
C:\WINDOWS\system32\drwtsn32.exe 
C:\WINDOWS\system32\netmsg.dll 

rpcrt4.dll
shlwapi.dll
version.dll 
shell32.dll 
user32.dll 
advapi32.dll
ntdll.dll
kernel32.dll

e avvia il seguente processo:

C:\WINDOWS\system32\drwtsn32 -p 668 -e 172 -g

Dopo lo smontaggio ho trovato alcuni indizi che il malware utilizza probabilmente HttpOPenRequestA tramite wininet, quindi potrebbe provare a comunicare con Internet.

Ho trovato molte cose - ma:

Come posso provare che il malware è stato eseguito e infetto il sistema?

Ovviamente un passo è cercare i file che sono stati creati durante il possibile tempo di esecuzione. Ma dovrebbe essere possibile spoofare i timestamp, quindi confrontare i file sul possibile pc infetto con alcuni file puliti via hashsums è forse il modo migliore.

Ma dove posso trovare "file puliti"? O c'è un modo migliore per provare l'infezione?

Grazie e amp; evviva!

Modifica:

Le domande poste & risposta qui sono buoni come una soluzione per i sistemi infetti . Ma la mia domanda è: come posso scoprire se il mio sistema è compromesso o non particolarmente per questo nuovo tipo di malware. Non può essere una soluzione per colpire ogni sistema come prevenzione ....

    
posta rudolf 14.06.2016 - 22:48
fonte

1 risposta

1

Dai tuoi commenti:

I just want to know how to proof if a system is infected or not.

Questa è la cosiddetta analisi forense . Devi essere consapevole che un malware ben fatto prenderà precauzioni specifiche per rimanere il più possibile non rilevabile e per nascondere il suo funzionamento interno.

Pertanto, richiede una competenza molto specifica per fare una tale analisi, questo è così vero che ora è un'intera disciplina nella sicurezza IT. Come se non saresti mai in grado di diventare un architetto di sicurezza o un pentestore al volo, impareresti a studiare procedure, strumenti e tecniche specifiche per questo dominio.

Non dico che questo non è fattibile, ma se sei interessato a questo dominio e sei disposto a imparare, ci sono modi meglio documentati di prendere un malware casuale e provare a reinventare la ruota.

E se vuoi solo determinare con certezza se un computer è infetto e non trovi alcuna prova tu stesso, puoi scegliere tra assumerlo o, se per qualche motivo non puoi prendere una tale decisione, contatta un Azienda di sicurezza IT e richiedere un'analisi forense.

    
risposta data 15.06.2016 - 14:09
fonte

Leggi altre domande sui tag