Malware Finder Kostenlos

Ohne Malware-Finder

Wie man den Game Finder downlaod kostenlose Vollversion von Malware, Adware und Ransomware Software Tool löscht. Im Verborgenen: Malware-Analysewerkzeuge und -verfahren Security-Forscher und -Anbieter publizieren oft Auswertungen von Malware-Proben, die sie aufgedeckt haben. Während diese Auswertungen Aufschluss über die Art und Funktionalität von Malware geben, ist es in der Praxis meist ein Geheimtipp, wie die Malware aufgedeckt wurde. Wir" heben den Vorhang" und zeigen einige Werkzeuge und Methoden auf, die von spezialisierten Malware-Forschern verwendet werden, um Malware zu analysieren.

In diesem Beitrag wird anhand eines Beispiels von Malware-Proben, die von einem Kunden-Gateway von checkpoint threat emuliert wurden, beschrieben, wie ein versierter Wissenschaftler dies auswerten kann. Der Cloud-basierte Bedrohungsemulationsdienst entdeckte am Montag, den 9. Februar 2014, eine bedrohliche Akte an einem Checkpoint-Gateway. Dieser Fund löst einen Alarmsignal bei der Forschungsgruppe für Malware aus, die die Dateien heruntergeladen und einer weiteren händischen Auswertung unterzogen hat.

Bei VirusTotal wurde die entsprechende Konfigurationsdatei (MD5: 0a56f31d1f059241d24e1814436f24da) von keinem Antivirenanbieter erkannt. Also entschieden wir uns, es weiter zu untersuchen, um festzustellen, ob es wirklich eine Gefahr oder nur eine unklare Akte war. Wir können zwei Hauptanalyseverfahren verwenden, um eine Akte aufzuschlüsseln: eine statistische und eine statistische Analyse.

Bei der statischen Auswertung werden Daten aus einer Akte gewonnen, ohne dass sie durchgeführt werden. Weil wir es mit einer Word-Dokumentdatei zu tun haben, können wir die Auswertung starten, indem wir einige Daten abfragen, z.B.: Die Prüfung der Dateien mit Exiftool ergab folgende Informationen: ACHTUNG!

Auch ist es sehr populär, ASCII-Zeichenketten aus der suspekten Akte während der Statikanalyse zu löschen, wenn es sinnvolle Auskünfte gibt. Die Bedrohungsemulation hat diese Akte erkannt, weil die OS-Sandkastenaufzeichnungen von Check Point Microsoft Word Macro Autostart verwenden. Dadurch ist es möglich, diese Daten in der Dynamikanalyse zu identifizieren.

Früher basierte alles auf statischer Berechnung, aber jetzt vermutet man, dass ein Macro darin eingelassen ist. Wenn wir den Visual Basic-Code analysieren, können wir erkennen, dass er eine Datei mit der Bezeichnung Portierbare ausführbare Datei (PE) von einem Dropbox-Konto aufruft. Bei der Datei (MD5: 0F34211D40A7199B9709EB68231557D0) handelt es sich um ein mit Visual Studio C# (.NET) kompiliertes Programm.

Weil die mit dem . Mit Hilfe von Reflectoren können die Gegenstände, Streams und Teile der Dateien verbunden werden. In der bisher einzigen Verdachtsdatei müssen wir noch etwas Bedrohliches aufdecken. Glücklicherweise ist die Dynamikanalyse eine leistungsfähige Variante. Unter dynamischer Auswertung versteht man das Extrahieren von Daten aus einer Akte während ihrer Abarbeitung.

In diesem Fall starten wir die Akte und beobachten sie, um herauszufinden, was sie ausführt. Basierend auf der Annahme, dass die verschlüsselten Ressourcen letztlich irgendwohin erzeugt - vielleicht in einer Akte - und dann durchgeführt werden müssen, haben wir auch die CreateProcess() API überwacht. The hypothesis: Während die Akte läuft, entziffert sie endlich den Ressourcenteil und läd ihn irgendwohin im mer.

Zu diesem Zeitpunkt hat einer der Analytiker der Malware Research Group einen anderen Weg vorgeschlagen: den Vorgang mit einem Fehlersuchprogramm wie OllyDbg zu testen und einen On-Memory Access Breakpoint auf die verschlüsselten Ressourcen zu legen. Wir gingen von einer einfachen Vermutung aus: Wenn die verschlüsselten Ressourcen entziffert werden sollten, würde der Vorgang schließlich diesen Teil auswerten.

In diesem Fall wird unser Haltepunkt wirksam und wir können die Durchführung in einem einzigen Arbeitsschritt abschließen und feststellen, was der Prozess mit den kodierten Informationen macht. Nach ein paar weiteren Schleifen wurde die Verschlüsselung der ursprünglichen suspekten Dateien im Arbeitsspeicher komplett wiederhergestellt.

Diesmal hat der mit VirusTotal durchgeführte Scan dieser Anwendung eine Erkennungsquote von 43/50 gebracht Der Kontrollpunkt Endpoint Security Agent hat sie ebenfalls erkannt. Dies ist eine Version einer wohlbekannten Produktfamilie namens Andreas - eine hintere Tür, die dazu gedacht ist, Information zu stehlen. Zu diesem Zeitpunkt ist es möglich, die zu verbindenden Internetadressen und die an sie gesendeten Daten zu analysieren - aber das geht über den Rahmen dieses Beitrags hinaus.

Bei der statischen und statischen Auswertung der Verdachtsdatei haben wir folgende Ergebnisse erzielt: Das PE-File wurde mit Visual Studio C# (.NET Framework) erzeugt und beinhaltet eine Verschlüsselung der Ressourcen. Mit Hilfe der Dynamikanalyse wird die Verschlüsselung der Ressourcen in eine neue PEDatei ausgelesen. Bei der Auswertung der Verdachtsdatei wurde eine bekannte Malware entdeckt, die mit Hilfe von Verdunkelungstechniken für bestehende Antivirenlösungen nicht mehr auffindbar war.

Cyber-Angriffe können mit diesen Verschlüsselungstechniken herkömmliche Malware-Abwehrmaßnahmen problemlos umgangen werden. Zur Minimierung des Infektionsrisikos durch diese Malware sollten Firmen ihre Angestellten auffordern, keine unvorhergesehenen oder suspekten Attachments von fremden E-Mail-Adressen zu erstellen.

Neben der traditionellen Anti-Malware-Lösung an Gateway, Mailserver und Endgeräten sollten Sie eine Malware-Sandbox-Lösung an Ihrem Internet- und E-Mail-Gateway einrichten. Benutzer mit Check Point Gateways, die Antivirus- und Anti-Bot-Blades aktivierten, bekamen über den Einsatz von ThreatCloud einen aktualisierten Nachweis dieser neuen Variante. Check Point bietet zusätzliche Sicherheit vor bisher nicht bekannter Malware und rät seinen Anwendern, die Bedrohungsemulation als Public oder Private Cloud Service zu nutzen.

Zum Autor: Christine Schönig ist seit 2009 technische Leiterin bei Check Point.