Zararlı Yazılım Analizi Yapma

[defacerGLD]

önceden açtığım %97 güvenlik konusunda sizlere virüstotal'i göstermistim bunla analiz yapacaz(antivirüslerin yaptığı gibi)

1-)VirusTotal a girip olası virüsü taratıyoruz:

2-)Şimdi "DETAİLS" kısmına geliyoruz ;

Mscvin.exe virüs ama bilmiyoz sayalım

3-)BEHAVİOR 'a gelelim ;

İşte bu mscvin.exe kendini başlangıça ekleyip : "C:\Program Files\Mscvin.exe" buraya kopyalıyormuş demek ki. (Başlangıç'a eklenen dosyalar çok önemlidir. Çünkü genelde keylogger veya ratlar da startup özelliği aktif olur. Buda şu demektir, server silinse bile başlangıça başka bir program eklediği için kişi, server'i sildim kurtuldum sanar fakat başlanıça eklenen exe yüzünden tekrardan virüs kurbanı olur Olay bu şekildedir.)

4-)BEHAVİOR kısmından devam ediyoruz ;

Burda ise görmüş olduğunuz gibi bazı windows özelliklerini program kendisi kapatmaktadır.(security center , WinDefend ,firewall...)

Ve calc.exe olan şey ise windows hesap makinesidir. Yani programı açtığımız zaman program ile birlikte calc.exe de açılıcaktır. Bunu binderlenmiş bir resim dosyası gibi düşünebilirsiniz.

Normalde bunlar virüstotal'le yaplımıyor ama bu şekildede oluyor
Normalde bu işler dinamik(sanal pc'de açarak) yapılıyor

Beğenmeyi unutmayalım

 

[_X_]

Güzel Bir Konu Daha Bulup Bizimle Paylastigin Icin Tesekkurler @defacerGLD

 

[defacerGLD]

Ekleme yapıyım

Detection kısmında birçok antivirüs tarafından yapılan taramaların sonuçlarını görüyoruz.
Details kısmında yazılım ile alakalı detaylar veriliyor.
Relations kısmında yazılımın grafik haritası ve iletişimde olduğu yerlerin güvenlik raporları yer alıyor.
Behavıor kısmında programın bağlantıda olduğu yerler ve yaptığı işlemler gösteriliyor.
Communıty kısmında programı daha önce inceleyen analizciler tarafından yapılan yorumlar yer alıyor.

Names kısmına bakalım şimdi burda dosyaya verilen isimle yazıyor ilk isim bizim verdiğimiz isim olan "Zararlı.exe"
ama diğer isimlere bakınca anlaşılıyor MSRSAAPP ve MSRSAAP.EXE isimleri karşımıza çıkıyor bu isimler
darkcomet rat(virüs oluşturma programı)'ın default isimleri burda zaten hemen olayı çakıyoruz ama devam ediyoruz %95 zararlı olsada bir ihtimal yazılımın
sahibi programa bu ismi vermiş olabilir.

İmports kısmına baktığımızda yazılıma dahil edilen dll dosyalarını görüyoruz, burdaki dll'ler bir bakıma bizim için önemli,

Kernel32.dll malware yazılımlarinın sıkça kullandığı bu dll hafıza dosya ve donanima erişimi manipule etmek için kullanılır.

AdvApi.dll registy'e erişimi manipüle etmek için kullanılır.

GDI32.dll yazılımın grafiklerini manipüle etmek için kullanılır.

Shell32.dll komut satırında kodlarımızı çalıştırmak amacı ile kullanılır.

Şimdi sıra geldi "Relations" bölümüne bakmaya.
Contacted url ve contacted domain bölümü karşımıza çıkıyor, bu programın iletişimde olduğu bağlantıların taramalarını
görebiliriz arada burda olduğu gibi hata yapıp domaini güvenli diye işaretleyebilir burayı pek takmayalım.

"Behaivor" bölümüne girelim,
Network communication kısmına bakınca Http ve dns bağlantılarını görüyoruz yani "benim dns adresim" kısmını görüyoruz
ki bu bağlantı genelde rat kullanımında kendi ip adreslerini gizlemek için kullanılan sitelerden ikincisidir şuan
en sık kullanılan site ise duckdns'dir. burdanda bu yazılımın rat olduğunu tespit ediyoruz.

 

[beleşadam]

Pestudio'da kullanın oda analiz yapıyor virüstotel gibi.