Bugs Bunny
14-04-2008, 21:22
Salve. Essendo riuscito a procurarmi un campione del kraken,che tutti dipingono come temibile botnet in grado di rendersi irrilevabile a qualunque firewall ed antivirus...
dopo averlo eseguito nella macchina virtuale (sì non controlla nemmeno se è in esecuzione in una macchina virtuale come fa lo storm worm) mi sono reso conto che la sua rilevazione (un processo nel task manager + 2 chiavi di registro) e la sua rimozione sono semplicissime. L'unica nota a suo favore è che è riuscito a bypassare il firewall...
LINK ALL' "ANALISI" (http://generazionenet.itadib.com/analisi-comportamentale-dei-virus-malware-f93/botnet-kraken-t429.html)
Ora mi chiedo: i 2 software hips usati per l'analisi non sono stati in grado di intercettare le sue mosse ma solo una minima parte, oppure kraken non è la terribile botnet quale tutti lo dipingono?
Mi chiederete "come faccio ad affermare che il malware è stato rimosso?" semplice... outpost,firewall installato sul pc reale che ha rilevato tutte le connessioni che non sono state intercettate da comodo(installato sulla macchina virtuale) non segnala più connessioni a server SMTP o ai tipici domini di questa botnet
Ps: gmer non ha rilevato attività rootkit
PPS: per chi vuole analizzare personalmente il malware a fondo pagina dell'analisi c'è il link per scaricarlo
dopo averlo eseguito nella macchina virtuale (sì non controlla nemmeno se è in esecuzione in una macchina virtuale come fa lo storm worm) mi sono reso conto che la sua rilevazione (un processo nel task manager + 2 chiavi di registro) e la sua rimozione sono semplicissime. L'unica nota a suo favore è che è riuscito a bypassare il firewall...
LINK ALL' "ANALISI" (http://generazionenet.itadib.com/analisi-comportamentale-dei-virus-malware-f93/botnet-kraken-t429.html)
Ora mi chiedo: i 2 software hips usati per l'analisi non sono stati in grado di intercettare le sue mosse ma solo una minima parte, oppure kraken non è la terribile botnet quale tutti lo dipingono?
Mi chiederete "come faccio ad affermare che il malware è stato rimosso?" semplice... outpost,firewall installato sul pc reale che ha rilevato tutte le connessioni che non sono state intercettate da comodo(installato sulla macchina virtuale) non segnala più connessioni a server SMTP o ai tipici domini di questa botnet
Ps: gmer non ha rilevato attività rootkit
PPS: per chi vuole analizzare personalmente il malware a fondo pagina dell'analisi c'è il link per scaricarlo