четверг, 19 апреля 2012 г.

Анализ шеллкода из Blackhole Exploit Kit

Допустим у нас есть задача быстро просмотреть что и откуда будет грузиться из Blackhole exploit kit. Можно конечно воспользоваться одной из виртуальных машин + wireshark (влепите сюда ваш любимый снифер), но это не интересно =) Вот такой я извращенец. =) Проведем эдакий ручной анализ, или х. его знает как хотите так и называйте.

Нам нужен свеженький семпл, идем на http://www.malwaredomainlist.com/mdl.php , выбираем, благо есть из чего, BEK оченна популярен сейчас у бед гайс и криминал кидс =)
Наш выбор пал на rf3c73.ru/indexi.php?pagexxi=677684c604189845

Ну и ладушки, отключаем в браузере javascript (кто в танке , может не делать этого), заходим по линку, дожидаемся пока страничка загрузиться и сохраняем исходный код страницы.




не обращаем внимания на этот ужасный мусор, то что нам нужно находиться в самом конце кода, заменям строчку w(b) на document.write(b) и сохраняем файл. На картинке спецально выделил , мало ли чо =)

вторник, 10 апреля 2012 г.

Анализ Trojan-Downloader.Win32.Small.cgwk

Попался тут где то в середине марта экземпляр на Malware Domaian List  троян доунлоадер. Ну что ж поиследуем решил , на момент поимки его на вирустотале детектило 4 или 5 АВ. к концу марта уже 35/45 (линк).


Код доунлоадера разбавлен полиморфным мусором, что несколько затрудняет анализ. Имеем следующую картину



Можно забить и анализировать так, благо кода всетаки не так много, но лень двигатель прогресса и для облегчения своей задачи воспользуемся прекрасным плагином для IdaPro - CodeDoctor (взять тут http://tuts4you.com). Ок. имеем следующую картину:


И это уже гораздо приятней =)