Каким образом можно заполучить зловред просто загружая торрент с якобы видеофайлом...

[NickM]

Уважаемые, здравствуйте!

Может кто из хелперов заинтересуется сабжем?

Пользователь нашёл свеженький фильм и решил загрузить его с торрент-трекера, вот только по факту окажется там и не видео-файл вовсе:

0. В заголовке задачи всё чинно и красиво:

Спойлер

1. Не каждый пользователь обратит внимание на расширение файла в раздаче, тем более, что раздающих достаточное количество:

Спойлер

2. Осторожного пользователя может насторожить тип файла, но ведь не каждого, верно?

Спойлер

Иконка файла вторит оному:

Спойлер

3. Сам файл, при упаковке, сжимается в сотни раз!

Спойлер

4. Да, при запуске он что-то даже показывает пользователю (Я Вам не покажу);

5. А по итогу файл является вредоносным:

Спойлер

 

[akok]

В общем не заморачивались, а что внутри за зловред?

 

[NickM]

что внутри за зловред?

Самому интересно, могу в личку направить, а Вы после исследования Нам всем рассказать?

 

[akok]

Отправляй посмотрю.

 

[NickM]

На virustotal, как по Мне не тот детект

 

[wumbo12]

На virustotal, как по Мне не тот детект

Интересно вирус...

 

[akok]

VirusTotal ничего сложно, просто файл забит нулями, чтоб обойти детект

 

[NickM]

VirusTotal ничего сложно, просто файл забит нулями, чтоб обойти детект

Угу, это и ежу понятно, только если каждый начнёт таким способом обходить детект... что с Нами, пользователями станется?

 

[akok]

не качать где попало варез и пиратки )))

 

[NickM]

не качать где попало варез и пиратки )))

Ну и это понятно.
Если бы не качали - форум был бы мёртв!
Так какой по итогу извлекается/ загружается зловред?

 

[akok]

Подожди пока отработают песочницы от VT

Reference anti-VM strings targeting Qemu
Reference anti-VM strings targeting Xen
Reference anti-VM strings targeting VMWare

 

[NickM]

Подожди пока

Жду..

 

[akok]

Можно не ждать, там стоит детект виртуальных машин.

 

[NickM]

виртуальных машин

Хех, не каждый зловред на таких машинах отработает.

Хорошо, дождусь и приведу, здесь в теме, анализ экспертов.

 

[Dragokas]

@NickM, можете прислать в ЛС, я посмотрю.

 

[NickM]

Ответов от команды форума не дождался.

Получил и публикую ответ от вирусных аналитиков (хотел конечно услышать за вредоносную нагрузку, что это - похититель приватной информации, майнер, RAT, и пр. (т.е., чего мог лишиться пользователь запустив *.scr файл до закрепления в системе, а так же и после), но это скорее всего окажется затруднительным):

1. Семплы являются дропперами вредоносных файлов;

2. Сначала файл извлекается в директорию C:\Users\user\AppData\Local\Temp\tmp3034.tmp.exe;

3. Затем извлекаются другие компоненты, которые закрепляются в планировщике:
-- "Microsoft\Twains Helper" - "C:\Windows\apppatch\TwainHelp.exe (будет детектироваться как HEUR:Trojan.MSIL.Agent.gen)
-- "Edgeshareupdate" - "C:\Windows\InputMethod\SHARED\Sharedriver.inet" (будет детектироваться как HEUR:Trojan.MSIL.Agent.gen);

4. После чего в реестре регистрируется расширение .inet, чтобы запустить Sharedriver.inet как исполняемый файл.

 

[wumbo12]

Ответов от команды форума не дождался.

Получил и публикую ответ от вирусных аналитиков (хотел конечно услышать за вредоносную нагрузку, что это - похититель приватной информации, майнер, RAT, и пр. (т.е., чего мог лишиться пользователь запустив *.scr файл до закрепления в системе, а так же и после), но это скорее всего окажется затруднительным):

Вирлаб отправил остальным?

 

[NickM]

Вирлаб отправил остальным?

Назовите Мне тот вирлаб, кто занимается такой деятельностью?

 

[wumbo12]

Назовите Мне тот вирлаб, кто занимается такой деятельностью?

Ну вендоры Dr.Web , Eset , BitDefender - вирлаб , кто и какие попались детекты.

 

[NickM]

Ну вендоры Dr.Web , Eset , BitDefender - вирлаб , кто и какие попались детекты.

Аа, направлял ли Я образец в другие вирлабы?

Нет, в этот раз не отправлял.

Нынче, некоторые даже автоответы не пишут (ну это и понятно по какой причине) на сэмпл и тем более о включении в базу.

Писать в пустоту - ну такая Себе затея.