Вчера вечером мой ящик на Yahoo меня снова "порадовал". Да и вообще, он меня постоянно "радует": только на этот ящик приходит спам, фишинг и вири/червяки в больших количествах. В этот раз пришла ссылка на файл cmd. Хоть сайт, на котором располагался файлик был на русском бесплатном хостинге, само письмо было на итальянском. Ладно, это мелочи - стандартные уловки, чтобы файлик открыли...
Файлик я решил по пытать. Для начала протестил на ClamAV и Сканер на Viruslist - оба говорят, что файл чист. Странно, ну да ладно. Поставил себе Far и HIEW. Открываю файл HIEW'ом - у файла сигнатура MZ (то бишь, это обычная EXE'шка, но расширение как у файла командной строки). Прокручиваю HEX на предмет чего-нить интересного и тут попадается слово "UPX". Значит, упакован файлик. Иду на сайт UPX - качаю распаковщик. Распаковал вроде ничего интересного, только в конце - текст об Exception'е по адресу 0x000000 или что-то вроде того.
Ассемблера я, к сожалению, не знаю. Сегодня ходил смотреть книги по нему в магазине, но ничего подходящего не нашел. Поэтому дальше ничего сделать не смог, но если когда нибудь смогу, то история продолжится...
Итоги: что мы имеем: Файл, полученный с русского сайта, при e-mail'е написанном на итальянском, выполняемый в консоли, который запакован (блин, еще бы запротектили) и у которого, по всей видимости, Windows-оболочка. Что-то мне подсказывает, что это не очень хороший файл...
Update: отослал файл в ClamAV и Лабораторию Касперского. От них пришел ответ, что присланный мной файл - это новая разновидность семейства Trojan-Downloader.Win32.Banload. К сожалению, на Viruslist его описания пока нет...
No comments:
Post a Comment