A "Loader" Case (Trojan Horse) [Malware Analyse]

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Xylitol
Messages : 33
Inscription : 31 mai 2010 12:02
Localisation : Seireitei, Soul Society

A "Loader" Case (Trojan Horse) [Malware Analyse]

par Xylitol »

étant donnée que "Papiers / Articles" et verrouiller je vous poste ça ici
C'est une analyse de: http://forum.malekal.com/http-www-parad ... 25937.html
Que je vient de faire, vidéo qui dure 5min:57sec
pourquoi "Loader" vous allez comprendre...
HD:
http://xylibox.free.fr/index.php?b0x=loadercase#video

Qualité weak (youtube):
http://www.youtube.com/watch?v=jyQKE1TS-SQ

Image

Listing IDA (un peut grand):
http://xylibox.free.fr/capture/44.png

J'ai passé deux heures sur ça.
Image
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: A "Loader" Case (Trojan Horse) [Malware Analyse]

par Malekal_morte »

Salut,

Un petit résumé des particularités et de ce qu'il fait (apparemment on voit un driver) pour ceux qui font pas de reverse, ce serait bien!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Xylitol
Messages : 33
Inscription : 31 mai 2010 12:02
Localisation : Seireitei, Soul Society

Re: A "Loader" Case (Trojan Horse) [Malware Analyse]

par Xylitol »

Ba tous et expliqué dans la vidéo :o
agressive.exe créé un fichier système, ensuite il écrit dessus (ça donne genre une dll le .sys, du moins il respecte le PE header d'une dll)
Après il enregistre le driver (le .sys) auprès du service manager de windows
Après il démarre le service et agressive.exe s'auto détruit
Le service qu'il a enregistré/démarré c'est un serveur qui semble packed d'ailleurs, on vois des chaines en clair mais si on regarde: 0 imports.
le driver a 7 sections, mais ça non plus ça veut rien dire.
suffit de regardé le trafique entrant/sortant et bim
j'ai pas assez de connaissance pour comprendre ce que le drivers fais, mais par déduction c'est un serveur pour ce connecté.
Car il établi une connexion mais ne fais rien d'autre sur le système, pas de dommage etc.. il reste en veille en quelque sorte.

Pour supprimé le malware il suffit de viré les entrée dans la base de donnée, arrêté le driver et supprimé le .sys, c'est dans les cordes de beaucoup d'anti-virus.
Je recommande MBAM, pour ça.
Image
[email protected]

Re: A "Loader" Case (Trojan Horse) [Malware Analyse]

par [email protected] »

Y0p,

On peut donc conclure que c'est visible sur un rapport GMER (rubrique services) ?
Le rapport threatexpert nous indique que ça quand même l'air bien détecté ! Marrant que agressive.exe soit pas packed ... je sais pas si y aurait autant de détections dans le cas contraire.
T'as pas une façon d'étudier un peu mieux le drivers ? 7 sections, c'est normal, mais il y a forcément une charge malicieuse derrière, sinon le truc à aucun intérêt, écouter le trafic sur le port 443 serait une bonne idée. En résumé, grâce à ta vidéo on comprend que c'est un malware, mais qui ne fait ... rien, à toi de nous démontrer le contraire pour que ce soit intéressant, une piste (on voit gootkit dans les strings) ? PDT_005

Sinon le débogage est très bien mené et les fonctions bien expliqués (ça évite d'avoir MSDN à coté), good job PDT_008

@+
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: A "Loader" Case (Trojan Horse) [Malware Analyse]

par Malekal_morte »

OK merci pour les explications.
Xylitol a écrit :Car il établi une connexion mais ne fais rien d'autre sur le système, pas de dommage etc.. il reste en veille en quelque sorte.
Tu as le port 25 bloqué en sorti sur la machine d'où tu as testé ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Skillhackers

Re: A "Loader" Case (Trojan Horse) [Malware Analyse]

par Skillhackers »

Au pire juste regarder si y'a pas Server.exe, suffit.
Avatar de l’utilisateur
Xylitol
Messages : 33
Inscription : 31 mai 2010 12:02
Localisation : Seireitei, Soul Society

Re: A "Loader" Case (Trojan Horse) [Malware Analyse]

par Xylitol »

Malekal_morte a écrit :Tu as le port 25 bloqué en sorti sur la machine d'où tu as testé ?
non
[email protected] a écrit :T'as pas une façon d'étudier un peu mieux le drivers ?
Le dead listing c'est vraiment pas mon truc surtout que le driver et "fat"
[email protected] a écrit :il y a forcément une charge malicieuse derrière
Ouai of course, de toute façon tous le stuff intéressant réside dans le driver.
[email protected] a écrit :écouter le trafic sur le port 443 serait une bonne idée.
wireshark
Image
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: A "Loader" Case (Trojan Horse) [Malware Analyse]

par Malekal_morte »

Ha OK. Je me demandais pour le bloquage du port 25 car dans le cas où le driver est un spambot, il peux éventuellement se connecter à un site pour récupérer les templates et il faisait rien par la suite si tu bloquais le port 25 !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »