Позвонил знакомый попросил найти игрушку Дальнобойщики. Порывшись в инете нашел - Дальнобойщики 3 - покорение Америки.
Вечерком еще один звонок - при запуске диска Nod 32 ругается на файл autorun.exe.
Решил посмотреть что это за зверюга такая.
Отчет вирустотал - VirusTotal
Запускаю виртуалку, копирую туда объект исследования.
Для начала узнаем имя компилятора и наличие упаковщика. используем для этого программку Die - http://ntinfo.biz/index.php/detect-it-easy
Программа написана в среде разработки Delphi и ничем не упакована.
Отправляем зверька в замечательную программу IDR - http://kpnc.org/idr32/en/
Через какое-то время видим главную форму нашего исследуемого. На ней две кнопки:
Код кнопки выход - ничего криминального в ней не видно.
И кнопка install:
А вот тут уже поинтереснее:
Запускается файл setup.exe (лежит в корне диска), с помощью функции winexec.
А перед этим выполняются три процедуры - выделенные красным цветом.
Айнс
Цвай
Драй
Из первого скриншота видим что паскудник меняет стартовую страницу iexplorer-а посредством реестра. И устанавливает ссылку на какой-то говнопортал - www.apeha.ru.
Во втором случае засранчег пытается проделать тоже самое, но с браузером mozzila и использует при этом конфигурационный файл. В третьем случае пытается надругаться над Оперой.
Используется api ShGetFolderPath. Параметров у нее много поэтому гружу туловище в отладчик и ставлю бряк на начало события кнопки:
Продолжим:
заходим в третью процедуру и наблюдаем следующее:
Ищется файл opera.ini расположенный:
C:\Documents and Settings\Имя учетной записи\Application Data\Opera\Opera\profile\opera6.ini
Если он существует - заменяется стартовая страница браузера opera.
К сожалению код у меня не сработал не с Оперой, не c Моззилой (из-за ее отсутствия)
А вот ослика пробило - так что слив защитан)
Вечерком еще один звонок - при запуске диска Nod 32 ругается на файл autorun.exe.
Решил посмотреть что это за зверюга такая.
Отчет вирустотал - VirusTotal
Запускаю виртуалку, копирую туда объект исследования.
Для начала узнаем имя компилятора и наличие упаковщика. используем для этого программку Die - http://ntinfo.biz/index.php/detect-it-easy
Отправляем зверька в замечательную программу IDR - http://kpnc.org/idr32/en/
Через какое-то время видим главную форму нашего исследуемого. На ней две кнопки:
Код кнопки выход - ничего криминального в ней не видно.
Запускается файл setup.exe (лежит в корне диска), с помощью функции winexec.
А перед этим выполняются три процедуры - выделенные красным цветом.
Из первого скриншота видим что паскудник меняет стартовую страницу iexplorer-а посредством реестра. И устанавливает ссылку на какой-то говнопортал - www.apeha.ru.
Во втором случае засранчег пытается проделать тоже самое, но с браузером mozzila и использует при этом конфигурационный файл. В третьем случае пытается надругаться над Оперой.
Используется api ShGetFolderPath. Параметров у нее много поэтому гружу туловище в отладчик и ставлю бряк на начало события кнопки:
"Нопим" первую процедуру:
И по F7 заходим во вторую, немного трейсим и смотрим что возвращает нам функция ShGetFolderPath:
C моззилой я особенно не знаком, поэтому перейдем к третьей процедуре.
Пред этим можно занопить 2 первые. Но приятность работы виртуалки в том, что за последствия можно не переживать)Продолжим:
заходим в третью процедуру и наблюдаем следующее:
Ищется файл opera.ini расположенный:
C:\Documents and Settings\Имя учетной записи\Application Data\Opera\Opera\profile\opera6.ini
Если он существует - заменяется стартовая страница браузера opera.
К сожалению код у меня не сработал не с Оперой, не c Моззилой (из-за ее отсутствия)
А вот ослика пробило - так что слив защитан)
Данное исследование ни на что не претендует, предназначено для начинающих. Если интересно тельце могу предоставить, пишите в комментарии.
Успехов !
Комментариев нет:
Отправить комментарий