RATDecoders permet de décoder les configurations des RATs : Adwind, Albertino Advanced RAT, Arcom, BlackNix, BlackShades, Blue Banana, Bozok, ClientMesh, CyberGate, DarkComet, drakddoser, DarkRat, Graeme, jRat, LostDoor, LuxNet, njRat, Pandora, PoisionIvy, Punisher, SpyGate, SmallNet, Unrecom, Vantom, Vertex, VirusRat et xtreme.
Voici un aperçu avec un échantillon DarkComet récemment ajouté à MDB.

Je commence par unpacker le PE puis j'utilise le script DarkComet.py qui requiert le module pefile d'Ero Carrera.

→ MUNNZIA.CRABDANCE.COM ( 86.68.32.155:1604/TCP ), client français sur l'ISP SFR.
Il est facile d'automatiser le scan de l'inspection mémoire des processus via un script python-yara exécuté depuis une VM, par exemple sur sandbox Cuckoo. Si vous êtes assez calés, je vous invite à déployer & évaluer la plateforme d'analyse Viper de Claudio Guarnieri.
Si vous n'y connaissez rien, utilisez le service en ligne MalwareConfig de Kevin Breen, auteur de RATDecoders. Les RATs supportés sont DarkComet, PoisonIvy, CyberGate, njRat, Xtreme,
Bozok, BlackShades, AAR, Pandora et LuxNet.
Et si par malchance, vous n'arriviez à aucun résultat alors transmettez chez Malekal.