Virus Testing Machine

[nV 25]

Erreale (sotto mia pressione.. ) alle prese con il dropper del DNSChanger (ndisio.sys)...

Analisi Virustotal

Video su youtube

Link diretto al filmato (qualità decisamente più alta rispetto al video su youtube...): http://www.pianetapc.it/file/secondo_test_bis.zip


Considerazioni:
Per ragioni di test è stata volutamente forzata (nel senso di ammessa...) la 1° esecuzione del sample (ma va? ) e, più che altro, le successive richieste di esecuzione/lancio di processi indotti dal malware stesso....

Allo stesso tempo, qualsiasi altro pop up diverso da quelli menzionati poc'anzi (privilege escalation, creazione di file/chiavi di registro and so on..) è stato bloccato.

Sitema XP Pro SP3, account AMMINISTRATORE, D+ (v3.8) settato nella modalità da me indicata* (in sostanza, abilitato il privilegio LoadDriver e ripristinato l'RPC Control\ntsvcs)...

Sebbene nel filmato sia mostrato il rapporto del solo RootRepeal, il sistema è stato verificato ex-post anche con PrevX CSI/Gmer...


*il test è stato ripetuto anche senza rimanipolazioni al comparto Protected COM Componets (ip. di default) registrando risultati in linea con quanto mostrato nel video (= sistema **INTATTO**!)

Buona Visione!



PS: speriamo di riuscire quanto prima a farvi vedere anche il Seneka:
il problema, infatti, è che in questo periodo di crisi anche la "manovalanza" (erreale , NDR) è più sfaccendata....

[erreale]

Il seneka sta arrivando!

Quote:

Originariamente inviato da nV 25

il problema, infatti, è che in questo periodo di crisi anche la "manovalanza" (erreale , NDR) è più sfaccendata....
[/size]

La "bassa manovalanza" sfaccendata e fancazzista avrebbe consegnato il prodotto finito svariate ore fa. Non è che sono i "super mega direttori, lup... man...gran farabutt..." (ndr: nella fattispecie nv25) a non aver voglia di fare?

[nV 25]

Il Seneka stà tardando per il semplice fatto che dovevo cercare di capire il + possibile la sua logica di funzionamento...

A questo punto, cmq, credo di essere nella posizione di poter dire che tutto risulta chiaro...

Anche per erreale, peraltro, credo valesse il solito ragionamento, da qui il temporeggiare...


Come anteprima posso solo dire che D+, se non si è fessi a rispondere ai pop-up, è in grado di resistere all'urto...

Un urto molto particolare visto che sotto questo sample c'è una discreta genialità di fondo....
Che gran bastardi, cmq....


PS: non aspettatevi cmq "lezioni" perchè da un lato non sono certo in grado di tenerle e, oltretutto, non credo siano interessanti alla platea...

[utente_medio_]

ciao a tutti inanzitutto complimenti per il lavoro svolto
volevo segnalare due link che potrebbero venirvi utili durante le vosre analisi

un ottima analisi del malware:
http://anubis.iseclab.org/

una macchina virtuale linux con safewine che fa la stessa cosa:

http://sourceforge.net/projects/zerowine

un piccolo consiglio, la maggior parte dei worm come primo test all avvio controllano se stanno girando dentro un ambiente virtuale, ed in tal caso non si eseguono,
per ovviare questo o si usa una macchina fisica, tagliando la testa al toro.
oppure si analizza il worm con un debugger es immunity debugger od ollydbg, andando a modificare la parte di codice che verifica la presenza di una virtual machine,

link utile su Conficker.:
https://www.honeynet.org/files/KYE-Conficker.pdf

spero di esservi stato d'aiuto buon lavoro!!

[@Sirio@]

@ nV 25

Carino il video , peccato che sul mio PC non riesco a leggere bene , me lo rivedrò su un 32 pollici...

Ciao caro nV

[@Sirio@]

@ sampei.nihira

Ora sto uscendo però appena posso faccio un test...

Ciao sampei

[nV 25]

C'è 1 solo errore:

è erreale che gentilmente si è prestato a fare tutto e, dunque, ogni merito va a lui (sbattimento per il test/upload ecc..)

Il mio contributo, infatti, che poi altro non è che un puro scambio di idee sulla metodologia da seguire + "tecnologia" dei sample, è un contributo teso fondamentalmente a stressare in n modi diversi il malcapitato tester se qualcosa non mi sfagiola...

Anzi, ne approfitto per ringraziarlo nuovamente...

------------------------
Anche se si cerca in tutti i modi di essere il più professionali possibile, lo spirito, cmq, è sempre quello del gioco e credo di poter dire senza paura di smentita che tanto io che ale non abbiamo assolutamente pretesa di insegnare nulla a nessuno....
Questo, a beneficio di chi legge...

Quote:

Originariamente inviato da @Sirio@

...Carino il video , peccato che sul mio PC non riesco a leggere bene , me lo rivedrò su un 32 pollici...

nel post c'è anche il link per il download diretto dell'avi...

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

C'è 1 solo errore:

è erreale che gentilmente si è prestato a fare tutto e, dunque, ogni merito va a lui (sbattimento per il test/upload ecc..)

Il mio contributo, infatti, che poi altro non è che un puro scambio di idee sulla metodologia da seguire + "tecnologia" dei sample, è un contributo teso fondamentalmente a stressare in n modi diversi il malcapitato tester se qualcosa non mi sfagiola...

Anzi, ne approfitto per ringraziarlo nuovamente...

------------------------
Anche se si cerca in tutti i modi di essere il più professionali possibile, lo spirito, cmq, è sempre quello del gioco e credo di poter dire senza paura di smentita che tanto io che ale non abbiamo assolutamente pretesa di insegnare nulla a nessuno....
Questo, a beneficio di chi legge...


nel post c'è anche il link per il download diretto dell'avi...

Intervengo quotandoti perchè quello che hai scritto mi ha fatto riflettere e molto........

Ci sono delle persone che nonostante hanno una normale vita sociale e di relazione si trovano più a proprio agio trà le "macchine".

Io sono uno di questi.

Lo possiamo catalogare come ha scritto nV25 come gioco,passatempo,svago.....nel mio caso l'ultimo termine che ho scritto rende meglio l'idea.

Ed il passare del tempo ha incrementato questo "fenomeno".

Ma quasi non mi sono accorto che mia figlia è ormai diventata adolescente.

Se altri 15 anni passeranno così..... in un momento....... mi risveglierò da questo "torpore" che ormai avrà una vita tutta sua.

Ed io avrò perduto per "gioco" il mio "attimo fuggente".

Mannaggia al mio amico Enne (che con rammarico non ho mai visto) che mi fà nascere in testa questi pensieri..........

Chissà se in futuro "giocherò" sempre di meno per dedicarmi,se ne avrà bisogno, più a Lei........

Perdonate questo "pescatore" che vuole calarsi malamente nei panni di un filosofo.

I miei auguri di Buona Pasqua a tutti gli amici di questo luogo virtuale.

@ Sirio Saluti e tanti auguri.

[nV 25]

Alla fine della fiera sei riuscito a precipitare anche me in un vortice di tristezza visto che anch'io, aimè, spendo diverse ore del mio tempo in questo "gioco" trascurando di conseguenza cose ben più importanti...

[erreale]

@ Sampei - enne...

Non dite così. Lo svago, le passioni, il gioco sono importanti tanto quanto altre cose. Se non aveste la passione per il pc molto probabilmente dedichereste il vostro tempo libero a qualcos'altro.
C'è chi due volte alla settimana va a giocare a calcio nella squadra di paese, chi passa il sabato mattina a fare 100km in bicicletta, chi gioca a biliardo 3 volte la settimana....

L'importante è che questo tempo non venga sottratto a cose più importanti. Dal canto mio i miei test li faccio la sera tardi o di notte quando le piccole dormono. E' questione di priorità. Tutto quì. Ma non mi si venga a dire che il "gioco" non è importante.

[sampei.nihira]

Quote:

Originariamente inviato da erreale

@ Sampei - enne...

Non dite così. Lo svago, le passioni, il gioco sono importanti tanto quanto altre cose. Se non aveste la passione per il pc molto probabilmente dedichereste il vostro tempo libero a qualcos'altro.
C'è chi due volte alla settimana va a giocare a calcio nella squadra di paese, chi passa il sabato mattina a fare 100km in bicicletta, chi gioca a biliardo 3 volte la settimana....

L'importante è che questo tempo non venga sottratto a cose più importanti. Dal canto mio i miei test li faccio la sera tardi o di notte quando le piccole dormono. E' questione di priorità. Tutto quì. Ma non mi si venga a dire che il "gioco" non è importante.

Si hai ragione,grazie per quello che hai scritto.
E' stato un attimo di tristezza.
Come ho scritto altre volte il nostro cervello ricorda come dilatati i ricordi tristi e contratti quelli felici.
E' un meccanismo di difesa, ed è vero !!
Ecco perchè esiste il detto che "la felicità dura un attimo".
Ma noi ci rimboccheremo come altre volte le maniche ed andremo avanti.....

Perdonate questi O.T.

[@Sirio@]

Host : XP sp3 aggiornato
VM : VirtualBox 3.0.4.0
Guest : XP sp3 aggiornato
Suite di sicurezza : CIS 3.11.xxxxx.552 completa - database AV 2264 - Proactive Security - Paranoid Mode
ISR : RVS 2010 beta 8

Malware wversion.exe - MD5: f5c6b935e47b6a8da4c5337f8dc84f76

Analisi su VirusTotal : http://www.virustotal.com/analisis/4...9f5-1252526364

Come già ci aveva anticipato nV 25, il malware in questione si occupa di criptare alcuni file in modo da renderne impossibile il recupero.

Il controllo in tempo reale degli antivirus lo riconoscono entrambi disattivo i real-time per poter proseguire.

Ho fatto tre test, il primo con CIS in Proactive Security a default accettando tutte le richieste...e notiamo la prima cosa strana, il secondo accettando solo l'avvio di wversion.exe e negando tutte le richieste...qui la cosa "strana" diventa preoccupante (avendo negato col D+ tutte le richieste successive all'avvio ).
Prima del terzo test sono andato a vedere le policy del D+ per controllare eventuali regole troppo permissive, createsi in Safe Mode. Ho trovato tutto normale, così ho deciso di portare su Aggressive l'Image Execution Control ed ho avviato il virus.. ma storia è sempre quella.

Primo Test

Consento l'esecuzione di wversion.exe il quale chiede l'accesso diretto al disco consentito, e qui ho avuto la richiesta (IMO) strana strana perché non è il virus che tenta di modificare la cartella zippata di wversion bensì rvsmon.exe (il servizio di Returnil).
Dopo il malware si comporta come mi aspettavo e va a criptare alcuni file. Il D+ in questo caso ci avvisa prima della modifica (prendo due avvisi a caso) poi della creazione del file criptato (gz) e così via per gli altri file. Invece, per la criptazione fatta da rvsmon.exe alla cartella zippata di wversion ho avuto solamente un popup: quello relativo alla modifica ma non quello della creazione
Una volta concluso vado a controllare qualche file e come potete immaginare il virus a fatto i suoi danni modificando - e rendedone quindi impossibile l'apertura - parecchi file e cartelle.
Riavvio la macchina virtuale per controllare se RVS 2010 ha fatto bene il suo lavoro e tutto mi sembra normale eccetto la partizione virtuale di RVS, la Z: (dove appunto avevo appoggiato momentaneamente la cartella zippata del malware), trovo wversion modificato e inaccessibile (non avevo protetto la partizione con RVS perché dovevo salvarci le immagini... che per fortuna non ha criptato ). In C: le cartelle/file sono tornati come prima.


Secondo Test

Questa volta avendo bloccato tutte le richieste successive all'esecuzione, ero tranquillo che non sarebbe riuscito a modificare qualcosa e invece il D+ è riuscito si a bloccare tutto quello che accadeva su C: ma non la modifica della cartella zippata su Z:
Ecco il log


Terzo test

Image Execution Control su Aggressive e ripeto la prova.... arrivo fino a questa richiesta bloccando le precedenti e poi provo a dare la policy predefinita Isolated Application tutto come prima: disco C protetto disco Z no
Questo il log

[buonasalve]

ciao Sirio

non ho capito una mazza del test, ma ti chiedo: ccè dovemo kakà ?

[cloutz]

Quote:

...ccè dovemo kakà ?

parzialmente....

comunque in alcuni passaggi il comportamento del D+ è stato strano, non mi convince..soprattutto perchè si disinteressa di una partizione senza apparente motivo

[Roby_P]

Quote:

Originariamente inviato da buonasalve

ciao Sirio

non ho capito una mazza del test, ma ti chiedo: ccè dovemo kakà ?

Sei proprio er peggio

Si può sapere quando riapre 'sto negozio che non si legge

[buonasalve]

Quote:

Originariamente inviato da Roby_P

Sei proprio er peggio

Si può sapere quando riapre 'sto negozio che non si legge

dal 23/2 fino a......quando passa

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

parzialmente....

comunque in alcuni passaggi il comportamento del D+ è stato strano, non mi convince..soprattutto perchè si disinteressa di una partizione senza apparente motivo

I miei complimenti a Sirio per il test.

Comodo e AO hanno raggiunto un indice di penetrazione considerevole.
C'erano da aspettarsele queste "vulnerabilità" ,i soliti furboni infatti certamente testano il loro malwares in primis con questi 2 sw di sicurezza.

[@Sirio@]

Grazie sampei

Cmq è vero: non fanno in tempo a coprire un buco che ne escono fuori altri 10 ..una lotta senza fine.
Poi... forse sarà perché sono le suite più diffuse e vengono prese di mira maggiormente, in ogni caso c'è sempre qualche malware che riesce a trovare il modo di bypassare le protezioni.

Avevo dimenticato di scrivere che questa volta (per me la prima) l'euristica del D+ ha fatto cilecca

[@Sirio@]

Quote:

Originariamente inviato da buonasalve

ciao Sirio

non ho capito una mazza del test, ma ti chiedo: ccè dovemo kakà ?

Come ha scritto cloutz la cosa non va tanto bene perché nel secondo e terzo test, ho bloccato anche la modifica della cartella compressa wversion sulla partizione virtuale Z: ...ma non ha funzionato.
Come puoi vedere dal log, l'evento è registrato come bloccato ma andando a verificare ho trovato la cartella modificata in gz.
Ho provato varie volte rimettendo sempre la cartella originale... e il maledetto me la criptava sempre

Ciao bona......salve

P.S. Davvero carino l'avatar, lo devo adottare anch'io

[buonasalve]

Quote:

Originariamente inviato da @Sirio@

Come ha scritto cloutz la cosa non va tanto bene perché nel secondo e terzo test, ho bloccato anche la modifica della cartella compressa wversion sulla partizione virtuale Z: ...ma non ha funzionato.
Come puoi vedere dal log, l'evento è registrato come bloccato ma andando a verificare ho trovato la cartella modificata in gz.
Ho provato varie volte rimettendo sempre la cartella originale... e il maledetto me la criptava sempre

Ciao bona......salve

P.S. Davvero carino l'avatar, lo devo adottare anch'io

ciao Sirio

son sicuro che se comunichi la cosa a quelli di Comodo risolveranno il problema.
o ti manderanno a caghèr