www.MegaLab.it

[Hpmezzo]

Come si evince dal titolo, alcuni ricercatori hanno rilevato alcuni malware un po' particolari. Infatti camuffano la loro vera natura, riuscendo a capire se vengono eseguiti in un ambiente isolato o virtuale, o in un ambiente fisico. Se vengono eseguiti in un ambiente virtuale allora viene eseguito solo una parte del programma, tralasciando la parte pericolosa. Se invece viene eseguita su un ambiente fisico allora l'applicazione esegue il codice intero compresa la parte nociva dell'applicazione. Questo è un metodo utilizzato per "infondere fiducia all'utente" anche più esperto, che prima scarica l'applicazione, la esegue in sand-box o in ambiente virtuale, costata successivamente l'applicazione se è un malware allora non lo installa (ovviamente), se invece si tratta di un applicazione "apparentemente" fidata allora prosegue al passo successivo, lo installa nel suo ambiente fisico. E li che il programma allora mostra la sua vera natura.
Utility si chiama PEframe ed è disponibile qui: (utilizzata appunto per questi scopi)
https://code.google.com/p/peframe/
Il tool richiede Python versione 2.7 o successive.
L'autore è un italiano, precisamente un siciliano ma non mi viene di esclamare MINKIA :) :)
Entriamo nell'analisi ecco cosa esegue il tool:
Current features:
Auto Analysis
Hash MD5 & SHA1
PE file attributes
Version info & metadata
PE Identifier Signature
Anti Virtual Machine
Anti Debug
Section analyzer
Imported DLLs & API functions
Search for suspicious API (Anti Debug) & sections
Dumping all the information
Extract all the string
Extract all the url
Reverse Hex dump
List Entry instances

Alla prossima :)

[farbix89]

Questo dovrebbe indurre ad avviare sempre e comunque tutto il materiale sconosciuto in sandbox,sempre e non solo nei test iniziali

Ancora non trovo un malware in grado di "fregare" un buon HIPS in maniera soddisfacente (nessun allarme).

Certo se trovi un utente Yes-Man il discorso cambia