Virus Testing Machine

[@Sirio@]

Maa.. grandi

Complimenti a tutti per i test eseguiti......bellissimi!


P.S. Scusate se non commento ogni test, ma li apprezzo tanto. Grazie a tutti.

[@Sirio@]

Quote:

Originariamente inviato da leolas

Ho provato anch'io il Trojan Simulator con Online Armor, mi tira troppo fare test con virus veri, ormai...
Magari più avanti..

...

Bentornato leo ...ci sei mancato.

Quote:

Originariamente inviato da commi

Ho rieseguito il test con il solo TPR.PIF (file che viene creato durante l'esecuzione di b.css) lanciandolo con explorer.exe (non è necessario usare per forza Xyplorer) e confermo i risultati avuti da Aigle:




prima di avere a schermo l'alert relativo al tentativo di esecuzione del processo tpr.pif (come è logico che sia), MD ci avverte che explorer.exe tenta di connettersi ad un IP presumibilmente malevolo.
Pertanto, explorer.exe (così come Xyplorer) viene in un certo senso "manipolato" da tpr.pif affinchè si connetta ad internet.

P.S.: il test con TPR.PIF va eseguito con la connessione internet attiva

Finalmente ho trovato 10 minuti per provarlo anch'io tpr.pif e come hai rilevato tu explorer.exe sembra venir manipolato - chiedendo la connessione - un momento prima della richiesta per l'eseguibile:

Ora proverò cercando di bloccare l'attività... spero sia possibile

Ciao commi

Quote:

Originariamente inviato da buonasalve

dunque, in D: io ho solamente la Sandbox e basta
dici che vale la pena ?
se comunque dovessi procedere, avrei bisogno di tutti gli step perchè non vorrei fare una operazione monca o malriuscita

se non ti va di spiegarmelo adesso non fa nulla, fallo quando ti pare perchè non è che si tratti di vita o morte
però fallo

ciao carissimo

Certo che ne vale la pena, molto semplicemente una volta aggiute le partizioni nei File Protetti, vai a modificare i Diritti di Accesso per l'eseguibile della Sandbox e nella voce relativa alle Cartelle/File protetti selezioni Copnsenti e dai i vari Applica.

Cmq se non riesci al volo in seguito ti metterò passo passo le cose da fare.

[cloutz]

Ragazzi stavo per fare una gaffe paurosa
ho scaricato da offensivecomputing questo malware, che è stato inserito sabato scorso ( "ottimo, un malware fresco fresco" mi son detto io). Lo analizzo e questo è il risultato:
http://www.virustotal.com/it/analisi...ba5-1253956416
Mi sembrava un bel virus, non molto riconosciuto..sempre meglio no??

Faccio il test, e mi sembrava un rogue...la GUI sembrava funzionare davvero, mi sembrava fatto molto bene per essere un malware, tanto che la cosa non mi convinceva...

Alla fine era l'antivirus SmadAV, un nuovo antivirus indonesiano

che figura..


A breve, cmq, un test con un rootkit hideproc :
http://www.virustotal.com/it/analisi...b34-1253957815

[cloutz]

eccomi col test del Rootkit.Hideproc.B...

per quanto mi riguarda ci sono alcune perplessità circa alcune azioni e un avviso..comunque intanto posto, nel caso ne discutiamo

per comodità posto solo il log che ho diviso in 2 screen, dato che sono un macello di eventi...ho catturato comunque tutti i popup e i log, che ho zippato e uppato qui per chi volesse controllarli (dovrei averli presi tutti tranne un paio, non importanti cmq..), ma vi avviso che sono sui 40 e passa

avvio il test in VM con installato MD e Sygate (quest'ultimo con servizi e processi disabilitati e non in avvio automatico).

Mi sono imposto di consentire tutto al malware, tranne il caricamento di driver e possibili connessioni! così da vedere, poi, se Malware Defender riesce a salvare il sistema. E' ovvio infatti, secondo tale logica, che se consento al driver di caricarsi, l'hideproc risulti invisibile e la situazione incontrollabile (= sistema infetto e MD fallisce)!! In altre parole non posso incolpare MD di non aver protetto il sistema, dopo avergli detto "Si, dagli i permessi necessari per nascondersi e fare ciò che vuole"

qui c'è il primo log:


Come potete vedere ho evidenziato in blu le azioni negate (in questo caso solo i 3caricamenti dei driver)


in cui non mi è chiaro:
1. Perchè l'hideproc vada prima a scrivere e poi a creare il file dmboot.sys. Non dovrebbe prima creare il file, e poi modificarlo (=scriverci)? Lo va a sovrascrivere? Quindi il file esisteva già ed è stato modificato?

2. Perchè subito dopo l'hideproc sia winlogon.exe a creare il file dmboot.sys. Sembra come se l'hideproc si serva winlogon per creare il driver, ma in tal caso come ha fatto? Io non ho ricevuto alcun avviso di tale interazione/modifica ad opera del malware.

3. Poi, che bisogno c'è di creare più volte lo stesso file? se ho già permesso di creare dmboot.sys in system32, perchè fa intervenire pure winlogon per ricrearlo ancora?? ridondante?

4. Poche righe più giù vediamo che l'hideproc va a modificare il servizio del sygate in c:\windows\c:\programmi\sygate\spf\smc.exe....che percorso è??

5. Poi trovo la stessa stranezza del punto 1 con il file tlntsvr.exe


la seconda parte del log non l'ho analizzata bene, mi sono soffermato più sulla prima, che mi ha lasciato parecchie perplessità

comunque eccola:

Ho bloccato le connessioni, che comunque puntavano qui, quindi niente di pericoloso..






alla fine, ho scansionato con rootrepeal e non ha trovato nulla di hidden (che era ciò che mi interessava in prima battuta).. poi termino l'hideproc (attraverso la lista processi attivi di MD), riavvio, e nessun processo del malware...riscansiono con rootrepeal e non trova ancora niente di nascosto...vado a vedere i file creati che rimangono al loro posto, ma non si riceve nessun altro avviso neanche da MD..quindi il malware è "morto"...


queste sono le osservazioni che ho tratto dal test (magari ho sbagliato metodologia, o sono domande ovvie che non riesco a capire per scarsa cnoscenza, non saprei )..speriamo che qualcuno riesca a chiarirmi un pò di dubbi



Saluti

[nV 25]

editato per evitare ogni mia interferenza sul modo con cui per ora sono state condotte le prove...



Se mi dispiace di qualcosa per il post che sono andato a modificare è solo per la perdita della parabola del tizio che se ne va al pub, situazione limite e parecchio forzata ma capace ugualmente di farmi sorridere (il che non guastava)...

[cloutz]

rendo pubblico un altro test che ho fatto in questi giorni, a seguito di diverse "ispirazioni" datemi da nV (che saluto e ringrazio)..
ho scelto di postarlo perchè mi ha colpito l'intraprendenza del malware..vedremo più avanti ...

Malware Defender vs Trojan-Proxy.Saturn.N (Ikarus)

Non avendo voglia di rispondere a tutti i popup () ho creato un nuovo gruppo "TestVM" in cui ho consentito solo l'esecuzione del rootkit, il caricamento di dll e la creazione di altri processi...inoltre ho negato ogni connessione, la creazione/modifica di ogni chiave di registro e la modifica/cancellazione di file (è stata permessa, invece, la lettura/creazione)...gli screen sono più immediati:



tutto, ovviamente, con l'opzione Log abilitata, cosicchè potremo analizzare il tutto alla fine, con calma, con i log davanti...

quando eseguo l'.exe dico a MD di trattarlo secondo la policy "TestVM", in questo modo non riceverò alcun popup.
Dopo alcuni minuti vado a controllare i Log, ed il risultato è impressionante






la suddetta policy vale solo per l'exe del malware, alla fine interviene anche winlogon, quindi MD mi chiede cosa fare..io gli nego tutto (anche la creazione del file .sys) e il test termina...
Non escludo che, se avessi permesso quest'evento, il malware sarebbe andato avanti chissà per quale strada

Saluti

edit:
l'avevo già testato qui, senza però un criterio logico serio :
http://www.hwupgrade.it/forum/showpo...postcount=2075

[@Sirio@]

Vista SP2
CIS 3.12.111745.560 Proactive Security - Defense+ in Paranoico
Returnil 2010 Home Lux 3.0.6517.4958

MD5 : fbfcfcc369bb7fdf07ac5b9f36dc58ad

Analisi su VirusTotal : http://www.virustotal.com/analisis/5...4c1-1257693666

N.B. Le analisi eseguite su ThreatExpert e CIMA sono con il campione di ieri, infatti l'MD5 e lo SHA-1 risulta differente da quello di oggi, anche se comunque il malware è sempre lo stesso.

Analisi su ThreatExpert : http://www.threatexpert.com/report.a...7a8d256408e6ec

Analisi su CIMA : http://camas.comodo.com/cgi-bin/subm...f3fdd572368c97


Oggi, navigando nel web è facile incontrare delle pagine come questa che ci invita ad installare un fantomatico antivirus... e noi facilmente "abbocchiamo"
Si, perché questo messaggio è fasullo ed in realtà l'antivirus che andremo ad installare è un malware, un Rogue per essere precisi.

Andiamo avanti, clicco su Ok e si apre una pagina web dove vengono visualizzate le risorse del computer fasulle anche queste, click su Ok e viene visualizzato un alert con i falsi malware rilevati cliccando su Remove All si avvia il download del setup del malware.

Avvio il setup ed abbiamo questi avvisi dal D+:



qui ho perso un popup, dove veniva segnalata la creazione di un file, penso dell'eseguibile, poi



ed infine si cancella il setup

Saluti

[gabryflash]

domanda : mi piacerebbe partecipare per imparare qualcosa di nuovo ma n on ho le vostre capacità e sono solo agli inizi del percorso di apprendimento... ho optato però invece della wm e delle altre soluzioni proposte ad una alternativa che per me sarebbe piu comoda e piu gestibile....ovvero il classico hdd non nuovissimo che verrà all'occorrenza installato al posto dell'hdd originale (si tratta solo di scollegare il secondo e abilitare il primo, oltre a scollegare i dischi d backup) ..ho fatto piccole modifiche al case percio accedo facilmente al cassetto degli hdd...che ne pensate? posso partecipare cosi munito?

ovvio che farò un bel disco immagine del sistema pulito appena installato per evitare sbattimenti..altri suggerimenti???

mi prendete con voi ???

[@Sirio@]

Quote:

Originariamente inviato da gabryflash

domanda : mi piacerebbe partecipare per imparare qualcosa di nuovo ma n on ho le vostre capacità e sono solo agli inizi del percorso di apprendimento... ho optato però invece della wm e delle altre soluzioni proposte ad una alternativa che per me sarebbe piu comoda e piu gestibile....ovvero il classico hdd non nuovissimo che verrà all'occorrenza installato al posto dell'hdd originale (si tratta solo di scollegare il secondo e abilitare il primo, oltre a scollegare i dischi d backup) ..ho fatto piccole modifiche al case percio accedo facilmente al cassetto degli hdd...che ne pensate? posso partecipare cosi munito?

ovvio che farò un bel disco immagine del sistema pulito appena installato per evitare sbattimenti..altri suggerimenti???

mi prendete con voi ???

Ma certo grabryflash solo... devi fare parecchia attenzione.

Perché sull'HDD dedicato non installi una Virtual Machine? Un Sistema di virtualizzazione è necessario... anzi ne servirebbero due.
Ricordati che quando colleghi HDD per i test non deve essere collegato nessun altro HDD e che nell'HDD dedicato non ci dev'essere alcuna informazione personale (S.O. anonimo, nessun client di posta, nessun programma di istant messaging, ecc., insomma, niente di niente) e per sicurezza installi solo i software che ti servono per i test.

Ciao.


P.S. Comunque la prima pagina fatta da leolas è molto chiara, seguendola e facendo attenzione non avrai problemi.

[gabryflash]

Quote:

Originariamente inviato da @Sirio@

Ma certo grabryflash solo... devi fare parecchia attenzione.

Perché sull'HDD dedicato non installi una Virtual Machine? Un Sistema di virtualizzazione è necessario... anzi ne servirebbero due.
Ricordati che quando colleghi HDD per i test non deve essere collegato nessun altro HDD e che nell'HDD dedicato non ci dev'essere alcuna informazione personale (S.O. anonimo, nessun client di posta, nessun programma di istant messaging, ecc., insomma, niente di niente) e per sicurezza installi solo i software che ti servono per i test.

Ciao.

infatti sara fatto cosi..pulito pulito...sai per la VM per quanto sicura per me è preferibile un altro hdd... nell'altro hdd ne ho due ma solo per provare software prima di installarli... cosa intendi per so anonimo?

[@Sirio@]

Quote:

Originariamente inviato da gabryflash

infatti sara fatto cosi..pulito pulito...sai per la VM per quanto sicura per me è preferibile un altro hdd... nell'altro hdd ne ho due ma solo per provare software prima di installarli... cosa intendi per so anonimo?

Si ho capito che usi un altro HDD, però anche lì, devi installare un SW di virtualizzazione.
Se non ti piace la VM usa Returnil, o similari.... tieni presente che alcuni malware sono proprio bastardi e riescono a bypassare questi sistemi...

Per S.O. anonimo intendo non registrato a tuo nome, ma, per esempio a "Pincopallino"

[gabryflash]

Quote:

Originariamente inviato da @Sirio@

Si ho capito che usi un altro HDD, però anche lì, devi installare un SW di virtualizzazione.
Se non ti piace la VM usa Returnil, o similari.... tieni presente che alcuni malware sono proprio bastardi e riescono a bypassare questi sistemi...

Per S.O. anonimo intendo non registrato a tuo nome, ma, per esempio a "Pincopallino"

ok ma se hai un disco immagine oppure come penso che farò io ..un s.o gia preparato con i fix e tutto il resto a che servirebbe la VW? scusa ma n ci arrivo ... :...so ignorante neh

[@Sirio@]

Quote:

Originariamente inviato da gabryflash

ok ma se hai un disco immagine oppure come penso che farò io ..un s.o gia preparato con i fix e tutto il resto a che servirebbe la VW? scusa ma n ci arrivo ... :...so ignorante neh

Detto in due parole, per avere una sicurezza in più: non sai mai cosa hai tra le mani e le precauzioni non sono mai troppe.

Te ne accorgerai col tempo del perché

[gabryflash]

Quote:

Originariamente inviato da @Sirio@

Detto in due parole, per avere una sicurezza in più: non sai mai cosa hai tra le mani e le precauzioni non sono mai troppe.

Te ne accorgerai col tempo del perché

e meno male che lo uso vergine sto s.o altrimenti sai che ridere..son curiosissimo di iniziare...mi appoggero a voi per imparare neh...come disse Einstein: la curiosità è la madre di tutte le scienza....

[@Sirio@]

Quote:

Originariamente inviato da gabryflash

e meno male che lo uso vergine sto s.o altrimenti sai che ridere..son curiosissimo di iniziare...mi appoggero a voi per imparare neh...come disse Einstein: la curiosità è la madre di tutte le scienza....

Certo, per qualsiasi cosa siamo qui.

[gabryflash]

Quote:

Originariamente inviato da @Sirio@

Certo, per qualsiasi cosa siamo qui.

gracias amigos ...

[sampei.nihira]

Mi accingo a fare un test con Hitman Pro 3.5,purtroppo questa sera ho ospiti e probabilmente non potrò rispettare le cadenze che mi impongo.
Il malware è in questo momento nello status che mi interessa cioè invisibile ad AVIRA:

Analisi Malware Virustotal

Infatti come è possibile vedere solo 3 Antivirus riconoscono la minaccia.

Prevx non riconosce la minaccia,ma nemmeno Hitman Pro 3.5

Rifarò lo scan a cadenze prefissate (spero) mi piacerebbe vedere qual'è il sw che rileverà prima degli altri la minaccia.

*****************************************************************************************
Aggiornamento dopo 12 ore

Sono passate ben 12 ore ed il malware risulta sempre invisibile ai 3 antivirus/antimalware di test.
Mentre allo scan on line si sono aggiunti altri 2 antivirus che rilevano la minaccia quindi in totale sono 5.

*****************************************************************************************
Nel frattempo (quì si fà notte !!!! ) ho fatto un test con un malware riconosciuto da Prevx,bene è possibile vedere nell'immagine sotto che identico
riconoscimento è dato da HP e non poteva essere altrimenti:



Oltretutto la funzionalità rimozione viene attivata nel caso si voglia eliminare il malware con il sw.
Cioè i 30 gg scadono dopo l'attivazione in rimozione e non dal momento dell'installazione.
Spero di essermi spiegato.

****************************************************************************************

Aggiornamento dopo 24 ore

Nuova analisi Malware Virustotal

Fatto piuttosto interessante.
Ikarus adesso riconosce il malware mentre HP 3.5 ancora no.
Ci possono essere 2 ipotesi:

a) Il database firme remoto di HP 3.5 ancora non è aggiornato.
b) Ikarus non è implementato.

Altro fatto interessante HP non scansiona la mia partizione non C: che contiene vari malwares, quindi
non vengono riconosciuti come tali,in questo caso Prevx invece scansiona le partizioni non C:

Disponibile la possibilità dello scan singolo prodotto nel menù contestuale:



****************************************************************************************

Aggiornamento 1 gg + 19 min

Avira si è aggiornato nelle firme.
Adesso il malware è riconosciuto:



Mentre lo scan con HP 3.5 ancora è negativo.
Quindi prende piede la ipotesi di un mancato aggiornamento firme.

Vince quindi la sfida triangolare Avira !!


***Conclusioni*******

Non aspetterò il riconoscimento del malware da parte di Prevx e HP 3.5.
E' un dato di fatto che entrambi prima o poi lo riconosceranno.
Non è interessante nemmeno chi lo riconoscerà per primo perchè per un altro malware
la situazione potrebbe capovolgersi.

La considerazione importante è che Avira è veramente un ottimo prodotto.

Ma tenere nel proprio pc un altro antimalware complementare potrebbe rivelarsi una scelta oculata.
E ciò è dimostrato nella rilevazione di questa mattina sia da Prevx che HP.
Faccio notare che quel malware era, ugualmente come quello di test,invisibile ad Avira !!

Saluti.

[@Sirio@]

Ciao sampei,

quando puoi mi invieresti il sample?

Thx

[eraser]

Giusto per la cronaca, ora Prevx lo vede

[sampei.nihira]

Quote:

Originariamente inviato da eraser

Giusto per la cronaca, ora Prevx lo vede

Grazie Eraser, ne prendiamo atto,saluti.