Selam arkadaşlar bildiğiniz üzere "Zararlı Yazılım Analizi" kategorisi açıldı. Ve bu kategoriyi canlandırmak adına böyle bir uygulama yapmak istedim.
Peki, Ne Yapacağız?
Size vermiş olduğum "Zararlı (virüs) içeren" dosyaları analiz etmenizi isteyeceğim.
Analiz Araçları İçin:
Malware Analiz Araçlarım Ve Kullanımları // Black Turtle
Herkese merhabalar arkadaşlar bu gün sizlere bana çok sorulan "Malware Anlalizini" ve "Kullandığım Araçları" anlatıcam. Öncelikle malware nedir ? nasıl bulaşır? analiz yöntemleri kaça ayrılır ? Bunları öğrenmek için bu konuya bakmalısınız ...www.turkhackteam.org
Analizi şu kriterlere göre yapmanız gereklidir:
Rich (BB code):
Uygulama Adı (Numarası) :
Program başlangıca bir şey ekliyor mu? :
Port dinlemesi var mı ? :
Ne çeşit bir virüs ? (rat, keylogger, miner, şaka, rogue (dolandırıcılık), ransomware, vb.) :
Programı açtığınız zaman başka bir şey açılıyor mu ? (Dropluyor mu) :
Neye dayanarak rat, keylogger veya başka bir virüs dediniz ?:
Strings değerlerinde neler bulabildiniz ? :
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyor mu? (kapatıyor mu):
Sizin eklemek istediniz şeyler var mı ? Varsa yazınız :
Yapılan analiz ile ilgili bir kaç görsel :
Bu şekilde hem kendimizi geliştirmiş, hem de neyin ne olduğunu az çok öğrenmiş olacağız.
Analiz eden arkadaşlar yoruma aynen bu şekilde atabilirler ;
Rich (BB code):
Uygulama Adı (Numarası): bilmemne.exe
Program başlangıca bir şey ekliyor mu? : evet svchost ekliyor
Port dinlemesi var mı ? : 65 portundan dinleme gerçekleşiyor
Ne çeşit bir virüs ? (rat, keylogger, miner, şaka, rogue (dolandırıcılık), ransomware, vb.) : rat (spy-net)
Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : defender.exe dropluyor
Neye dayanarak rat,keylogger veya başka bir virüs dediniz ?: başlangıca eklediği exe ile port dinlemesi gerçekleştiriyor. Durduk yere defender.exe dropladı vs.
Strings değerlerinde neler bulabildiniz ? : Remote Administratör Tool , msraap.exe, begin darkcomet rat, vs vs
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyor mu? (kapatiyor mu): Uac ı devre dışı bırakmaya çalışıyor
Sizin eklemek istediniz şeyler var mı ? Varsa yazınız : Hepsi bu kadar :) veya evet var şunlar şunlarda vardı . Örnek program otomatik internet üzerinden "temp" klasörüme bir exe daha indirmeye çalıştı vs vs.
Yapılan analiz ile ilgili bir kaç görsel :
Verilen linkleri "sakın" kendi bilgisayarınızda çalıştırmayın ! Analiz edeceğiniz bilgisayarda çalıştırınız. (Örnek ; sanal pc vb.)
Analiz Edilecek Virüslü Dosya Listesi ;
1-) Safe3WVS-9.0.rar İndir
2-) https://www86.zippyshare.com/v/aEGyq6BB/file.html
3-) Darkcomet_RAT_5.3.1_sorunsuz.rar dosyasını indir - download
4-) SpyNet2.6_THT.rar dosyasını indir - download (Rar Pas : vatanbölünmez)
5-) Bruteforce_Spesial_Edition.zip dosyasını indir - download
6-) https://dosya.co/ti7dxwd3jovb/TeraBIT_Virus_Maker_3.2(2).rar.html
7-) MEGA
8- https://mega.nz/#!3iQW2ISS!j8Xcf2ztPJAURK6QQ8sGFvNEJ3Vagf9e4aKGMBS IfiQ
9-) https://anonfile.com/y2D0F8s6b8/Safe3WVS-9.0_rar
10-) Hell Spy.rar
11-) Adwind RAT v3.0 Cracked.rar
12-) ACOrigins
13-) SWIFT_CONFIRMATION.eml.zip dosyasını indir - download ( Rar pas : infected )
14-) Cros.zip dosyasını indir - download ( Rar pas : infected )
15-) Adwind.zip dosyasını indir - download ( Rar pas : infected )
16-) Winlocker.VB6.Blacksod (Rar pas : mysubsarethebest)
17-) NoMoreRansom (Rar pas : mysubsarethebest)
18- PolyRansom (Rar pas : mysubsarethebest)
19-) BadRabbit (Rar pas : mysubsarethebest)
20-) Cerber 5 (Rar pas : mysubsarethebest)
21-) Petya.A (Rar pas : mysubsarethebest)
22-) ViraLock (Rar pas : mysubsarethebest)
23-) DeriaLock (Rar pas : mysubsarethebest)
24-) WannaCrypt0r (Rar pas : mysubsarethebest)
25-) Xyeta (Rar pas : mysubsarethebest)
26-) Birele (Rar pas : mysubsarethebest)
27-) Krotten (Rar pas : mysubsarethebest)
28- DesktopPuzzle (Rar pas : mysubsarethebest)
29-) HMBlocker (Rar pas : mysubsarethebest)
30-) FakeActivation (Rar pas : mysubsarethebest)
31-) 000 (Rar pas : mysubsarethebest)
32-) MEMZ (Rar pas : mysubsarethebest)
33-) Ana (Rar pas : mysubsarethebest)
34-) ColorBug (Rar pas : mysubsarethebest)
35-) Illerka.C (Rar pas : mysubsarethebest)
36-) WannaCry.rar dosyasını indir - download (Rar pas : virus123321 )
37-) https://anonfile.com/0e84C33fnf/42_zip (Rar pas : 42)
38- İndir Darktrack Beta (Rar pas + Dosya.co pas : 06l12l2010%08l08l1925# )
39-) https://www.dosyayukle.biz/8ww/Netflix_Generator.zip (Rar pas : 1234)
40-) NetflixChecker.zip dosyasını indir - download
Analiz Edilmiş Virüslü Dosya Listesi ;
1-) Uygulama Adı : safe3
Program başlangıca bir şey ekliyor mu? : Evet;
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe
Port dinlemesi var mı ? :
iexplore.exe 3380 TCP 49181 96 34.73.46.0 Syn-Sent
C:\Program Files (x86)\Internet Explorer\iexplore.exe
Rat mı, keylogger mı ? (veya başka bir şey minner virüsü vb.) ?: rat
Programı açtığınız zaman başka bir şey açılıyor mu ? (Dropluyor mu) :
C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe , iexplore.exe, cmd, notepadd.exe ,
C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE
Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?:
Program başka programlar dropluyor ve başlangıca bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.
Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyor mu? (kapatiyor mu): hayır bypass yok
Sizin eklemek istediniz şeyler var mı ? Varsa yazınız:
upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.
2-) Öncelikle 2. Program MEMZ virüsüdür ve gayet ünlü bir virüstür. Zaten dosya içerisinde de kaynak kodları verilerek zararlı olduğu söylenmiş dolayısıyla analiz etme gereği duymadım.
MEMZ - Vikipedi
tr.wikipedia.org
GitHub - WobbyChip/MEMZ: A fork of the MEMZ malware from Leurak
A fork of the MEMZ malware from Leurak. Contribute to WobbyChip/MEMZ development by creating an account on GitHub.github.com
3-) Uygulama Adı : DARKCOMET
Program başlangıca bir şey ekliyor mu? :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit:
c:\users\ieuser\favorites\msdcsc\msdcsc.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : c:\users\ieuser\favorites\msdcsc\msdcsc.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : MicroUpdate= C:\Windows\system32\MSDCSC\Apa2laHi8YD9\msdcsc.exe
Port dinlemesi var mı ? : 127.0.0.1:1604
Rat mı, keylogger mı? (veya başka bir şey minner virüsü vb.) ?: RAT
Programı açtıgınız zaman başka bir şey açılıyor mu ? (Dropluyor mu) :
explorer.exe, cmd.exe, notepad.exe, "C:\Users\IEUser\Favorites\MSDCSC\grRGiAbP7aSa\msd csc.exe",
"C:\Users\IEUser\Desktop\grRGiAbP7aSa.dcp" , \Internet Explorer\iexplore.exe
Neye dayanarak rat, keylogger veya başka bir virüs dediniz ?:
Strings değerlerinde neler bulabildiniz ? : Remote Service Application, \Internet Explorer\iexplore.exe, explorer.exe, kernel32.dll, advapi32.dll
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyor mu?(kapatıyor mu)
- Hayır; en azından ben fark etmedim.
Sizin eklemek istediniz şeyler var mı ? Varsa yazınız :
"This program cannot be run DOS mode" bu header bilgisi dikkatimi çekti, hex editörden ilgili alanı dışarıya aktararak biraz daha detaylı inceledim
ve sonun da şu fonksiyona ulaştım;
--->> "URLDownloadToFileA" buradan da şunu anlıyoruz ki, internet bağlantısı yaparak, bir indirme işlemi yapıyor. kernel32.dll, advapi32.dll kütüphaneleri import edilerek, CreateFile gibi fonksiyonlar ile sistem üzerinde dosyalar oluşturduğu iddaasını ortaya atabiliriz. Yine araştırdığım da advapi32.dll kütüphanesi registery kayıtları, servis yöneticisi vb. gibi Windows yapılarına ulaşmak için kullanılıyormuş.
4-) Uygulama Adı (Numarası) : spynet.exe
Program başlangıca bir şey ekliyor mu? : Evet; windefender.exe
Port dinlemesi var mı ? : 80 portunu dinliyor
Rat mı, keylogger mı (veya başka bir şey minner virüsü vb.) ?: rat
Programı açtığınız zaman başka bir şey açılıyor mu ? (Dropluyor mu) : windefender.exe (hata raporu), cmd.exe, WerFault.exe, NOTEPAD.exe
Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?:
Program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.
Strings değerlerinde neler bulabildiniz ? : Dropladığı programları, oluşturduğu dosyaları
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyor mu?(kapatıyor mu): Hayır; bypass yok
Sizin eklemek istediğiniz şeyler var mı ? Varsa yazınız: windefender.exe açıldığı zaman belirli aralıklarla crash vermesi yazılmış
5-) Uygulama Adı (Numarası) : TeraBIT_Virus_Maker_3.2.exe
Program başlangıca bir şey ekliyor mu? : Evet;
C:\Users\Windows\AppData\Roaming\Windows\svchost.exe,TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE
Port dinlemesi var mı ? : yok
Rat mı, keylogger mı (veya başka bir şey minner virüsü vb.) ?: rat
Programı açtığınız zaman başka bir şey açılıyormu ? (Dropluyormu) :
- iexplore.exe,
- taskman.exe,
- TeraBIT_Virus_Maker_3.2.exe,
- TVIRUS~1.EXE,
- dllhost.exe,
- svchost.exe
Neye dayanarak rat, keyloggerdır veya vb. Bir virüs dediniz ?: Program başka programlar dropluyor, meredrop özelliğine sahip
Strings değerlerinde neler bulabildiniz ? : dropladığı dosyaları ve meredrop özelliğini
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyor mu?(kapatiyor mu): Hayır; bypass yok
Sizin eklemek istediğiniz şeyler var mı ? Varsa yazınız: VirusMaker (TVIRUS~1.EXE) droplandığı gibi "CrashHandler.exe" çalışmaya başlıyor ve hata raporu yolluyor, svchost.exe bilgisayara +18 görüntü ekliyor, meredrop özelliği ile karmaşık bir şekilde yapılandırılmış ve okunmasını zorlaştırmış.
6-) Uygulama Adı (Numarası): Adwind RAT v3.0 Mod DamaTT.exe
Program başlangıca bir şey ekliyor mu? : Evet;
C:\Windows\System32\mobsync.exe, C:\Windows\System32\svchost.exe,
C:\Users\Windows\Desktop\Adwind RAT v3.0 Cracked\Adwind RAT v3.0 Mod DamaTT.exe,
C:\Windows\system32\dllhost.exe, mscvin.exe
Port dinlemesi var mı ? : svchost.exe 884 TCP 49153 WIN-N4K1LL6ETEU Listening
Rat mı keylogger mı (veya başka bir şey minner virüsü vb.) ?: keylogger
Programı açtığınız zaman başka bir şey açılıyor mu ? (Dropluyor mu) :
svchost.exe
iexplore.exe
notepad.exe
serverrrrrrr.exe
cmd.exe
conhost.exe
Adwind RAT v3.0 Mod DamaTT.exe
msdt.exe
msdtc.exe
dllhost.exe
mscvin.exe
Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor
Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi (smtp)
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyor mu?(kapatiyor mu): Windows defender, windows güvenlik duvarı
Sizin eklemek istediğiniz şeyler var mı ? Varsa yazınız: HAKOPS tarafından oluşturulan keylogger. Mail üzerinden port dinlemesi, webcam görüntüsü, log kaydı yapılıyor. Program kendini yönetici hale getiriyor;
XML:
<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
version="1.0.0.0"
processorArchitecture="X86"
name="msvin"
type="win32"
/>
<description></description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="X86"
publicKeyToken="6595b64144ccf1df"
language="*"
/>
</dependentAssembly>
</dependency>
<!-- Identify the application security requirements: Vista and above -->
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
<security>
<requestedPrivileges>
<requestedExecutionLevel
level="requireAdministrator"
uiAccess="false"
/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>
Analiz Yapan Üyelerimiz ( Teşekkürler )
- CassPort
-
- Phemis
-
- RTFM
-
- CassPort
-
- CassPort
-
- CassPort
-
- CassPort
-
- CassPort
Eklemek istediğiniz exeler var ise konu altından bildirebilirsiniz.
Yapıp-yapmamak tamamen size aittir. Hiç bir sorumluluk kabul etmem. O yüzden lütfen analiz edeceğiniz uygulamaları sanal bilgisayarınızda çalıştırınız !
Moderatör tarafında düzenlendi: