Era un documento che avevo trovato più di 4 mesi fa. Ma è stato fatto molto bene e quindi voglio riproporvelo.
Si tratta dell'analisi di un virus-malware fatta da
Rahul Mohandas.
Il virus è SOHANAD.A o Qucan.a secondo Trend e Kaspersky. Rappresenta molto i virus attuali, capaci di installarsi bene nel SO e di replicarsi.
L'analisi è condotta molto bene, e vi permette di capire i concetti iniziali di un campo molto ampio e assolutamente appagante come quello dell'analisi del malware.
Ieri sulla casella di posta di msn mi sono trovato un allegato di una certa milenaxxx che mi proponeva le sue foto "scusandosi per il ritardo". Tutto ok.. ma la prima cosa che mi viene in mente è un virus. Estensione .zip, quindi scarico tranquillo.
Provo la scansione col NOD, ma niente.
Tento la scansione con
virustotal.com e:
| Antivirus |
Version |
Update |
Result |
| AhnLab-V3 |
2007.6.21.1 |
06.22.2007 |
no virus found |
| AntiVir |
7.4.0.34 |
06.22.2007 |
HEUR-DBLEXT/Worm.Gen |
| Authentium |
4.93.8 |
06.22.2007 |
could be infected with an unknown virus |
| Avast |
4.7.997.0 |
06.23.2007 |
no virus found |
| AVG |
7.5.0.476 |
06.22.2007 |
no virus found |
| BitDefender |
7.2 |
06.23.2007 |
no virus found |
| CAT-QuickHeal |
9.00 |
06.23.2007 |
no virus found |
| ClamAV |
devel-20070416 |
06.23.2007 |
no virus found |
| DrWeb |
4.33 |
06.23.2007 |
no virus found |
| eSafe |
7.0.15.0 |
06.21.2007 |
no virus found |
| eTrust-Vet |
30.8.3736 |
06.22.2007 |
no virus found |
| Ewido |
4.0 |
06.22.2007 |
no virus found |
| FileAdvisor |
1 |
06.23.2007 |
no virus found |
| Fortinet |
2.91.0.0 |
06.23.2007 |
no virus found |
| F-Prot |
4.3.2.48 |
06.22.2007 |
no virus found |
| F-Secure |
6.70.13030.0 |
06.22.2007 |
Packed.Win32.CryptExe |
| Ikarus |
T3.1.1.8 |
06.23.2007 |
Trojan-Spy.Win32.Banker.anv |
| Kaspersky |
4.0.2.24 |
06.23.2007 |
Packed.Win32.CryptExe |
| McAfee |
5059 |
06.22.2007 |
no virus found |
| Microsoft |
1.2701 |
06.23.2007 |
no virus found |
| NOD32v2 |
2347 |
06.23.2007 |
no virus found |
| Norman |
5.80.02 |
06.22.2007 |
no virus found |
| Panda |
9.0.0.4 |
06.22.2007 |
no virus found |
| Sophos |
4.19.0 |
06.22.2007 |
no virus found |
| Sunbelt |
2.2.907.0 |
06.21.2007 |
VIPRE.Suspicious |
| Symantec |
10 |
06.23.2007 |
no virus found |
| TheHacker |
6.1.6.137 |
06.22.2007 |
no virus found |
| VBA32 |
3.12.0.2 |
06.23.2007 |
no virus found |
| VirusBuster |
4.3.23:9 |
06.22.2007 |
no virus found |
| Webwasher-Gateway |
6.0.1 |
06.22.2007 |
Virus.HEUR-DBLEXT/Worm.Gen |
sì, è un virus. Ma quale? Cosa fa? Ecco che torna utile un po' di analisi del software.
Ecco come sapere se un file è un virus senza aver bisogno di un antivirus.
Ecco il documento (in inglese).
Hacking the Malware
Questo articolo è stato pubblicato il 31-12-1969 alle 18:33 e classificato in Sicurezza.
0 Commenti a “Analisi di un Virus”