Статья Как определить вирус через VirusTotal

Darwin

Команда форума
Администратор
Сообщения
815
Реакции
389
Сегодня вы научитесь определять вирус через VirusTotal а скорее всего анализировать любой файл
Ведь в интернете и на форумах нам встречаются незнакомые для нас файлы которые мы боимся открыть так как могут быть майнеры, ратники, стиллеры

Давайте уже перейдем на сайт [

Для просмотра скрытого содержимого вы должны авторизироваться или зарегистрироваться

] и научимся анализировать сами файлы которые мы загрузим

Для просмотра скрытого содержимого вы должны авторизироваться или зарегистрироваться


Для начало нам желательно бы зарегистрироваться на сайте для получение полного анализа на файл

Загружаем файл и видем количество детектов, любой файл работающий с памятью, драйвером может быть в детекте поэтому особо на это не смотрим
в особенности это файлы которые связаны с читами но нам важны другие вкладки:
Раздел Relations
Первые три подраздела показывают нам идентифицированные подключения к доменам/IP-адресам/страницам. Пример:
OPRcAjG.png

Исходя из доменных имён, с которыми идет связь приложение, можно определить как легитимные (обычно это официальные сайты компании/разработчика), так и не совсем. Во втором случае, это могут быть веб-сайты которые:
  • содержат домены бесплатных хостингов
  • имеют в имени подозрительные словосочетания (на фото примера это веб-сайт pool.supportxmr[.]com, другой пример — iplogger/crypto/steal и тому подобные). Учтём, что значительная доля веб-сайтов, содержащих в себе crypto/btc/xmr используются для добычи криптовалюты, то есть для майнеров (как в приведенном примере);
  • называются произвольным набором цифро-буквенных символов, не имеющие никакого значения (пример: ttr4p; bb3u6);
  • размещены на недорогих доменах верхнего уровня (пример: *.xyz, *.pw, *.wtf);
Это далеко не полный список, однако именно такими параметрами обладает большинство доменных имен, использующихся создателями вредоносного ПО. Не следует исключать веб-сайты с доменами, которые, на первый взгляд, кажутся приемлемыми.

В ином случае, когда приложение подключается к конкретным IP-адресам, не будет лишним проверить: что это за IP (воспользоваться whois); что размещено по этому адресу; файлы, которые так же связывались с этим адресом. Благо мы можем посмотреть эти данные используя VirusTotal, кликнув по интересующему для нас адресу. В подразделе Details представлен whois и результаты поиска данного адреса в поисковике:
mX2wEuv.png

Следующий полезный подраздел — Dropped files. Как можно понять из названия, это созданные приложением файлы. В экземпляре майнер создает различные скрипты, написанные на Visual Basic, и исполняемые файлы (используются как майнеры).
1233.png

Раздел Behavior

В этом разделе отображается анализ с песочниц. Рекомендую использовать VirusTotal Jujubox и

Для просмотра скрытого содержимого вы должны авторизироваться или зарегистрироваться

ибо они имеют наибольшее количество информации. Что бы не повторяться разберем только отдельные подразделы.

Registry Actions. Здесь мы можем посмотреть изменения (создание/удаление/изменение ключей) регистра. Я рекомендую обратить внимание на следующие разделы регистра, отвечающие за автозагрузку:
Код:
<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run
<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce
<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run
<HKLM>\Software\Microsoft\Windows\CurrentVersion\RunOnce

Итоги

Подводя итоги статьи, можно отметить, что VirusTotal является отличным сервисом для анализа приложений. Однако, не забывайте, что никакой анализ не заменит динамический. В экземпляре был представлен не криптованый майнер, где всё лежит на поверхности для большей наглядности
 

Darwin

Команда форума
Администратор
Сообщения
815
Реакции
389
Так же для анализа нам пригодятся программы IDA, x64dbg
об этом в другой теме, если вам зайдет это тема поддержи и выпущу другую)
 

Darwin

Команда форума
Администратор
Сообщения
815
Реакции
389
сори за спам просто ссылки не видно написано напишите 5 сообщений
желательно что бы они выглядели естественно, тогда бы не считалось за спам)
пропущу, так уж и быть
 

Nowane

Следопыт
Сообщения
71
Реакции
25
Полезная статья. Ещё рекомендую всем держать на компе простенький софт - procexp. В нём встроена функция скана процессов вашей системы через вирустотал.
 

MrComer

Новорег
Сообщения
2
Реакции
0
Полезно, отличная работа!
 

tripside17

Следопыт
Сообщения
68
Реакции
13
Спасибо, полезно форум топовый
 

luckish

Исследователь
Сообщения
36
Реакции
4
спасибо, имба информация
 

sobaka

Пользователь
Сообщения
16
Реакции
1
интересная информация, спасибо
 

3iple

Пользователь
Сообщения
15
Реакции
0
полезно, но все равно буду просто заливать на вт и не чекать столько инфы:)
 

skorpintec

Следопыт
Сообщения
50
Реакции
0
интересная инфа, но софт который посоветовал Nowane все же пожалуй скачаю

 

Jedi

Исследователь
Сообщения
26
Реакции
0
Спасибо за полезность
 
Верх Низ