Overenie potencialneho malware, ci 'vola domov'
Mam vo windowsackom Spravcovi uloh jeden proces, ktory uz tam nemal byt. Pochadza z jednej normalnej aplikacie. Ale aplikaciu som uz ukoncil a malo sa aj hento. Tak ma napadlo, ci sa nejaky malware nenalepil na dany proces v zamienke legalnej aktivity, posiela svojmu autorovi moje data.
Tak som si spustil ako admin program ProcessExplorer (ten z windowsackej stranky ale od ne-microsofackeho autora) > klik prave > Properties > karta Disk and network. Vsade same nuly. Neviem ci to dobre ukazuje. Potom karta TCP/IP, tam nie je vobec nic.
Stiahol som si demo verziu programu Capsa Enterprise (to je nieco ako Wireshark ale uzivatelsky privetivejsie vraj). Je tam toho kopa co sa deje. IP-cky vselijake ... ale program neponuka nieco ako dopatranie sa procesu ktory komunikaciu inicioval. Mam tam iba ze Packet details, kde by to aj mohlo byt ale pise ze pakety su stratene pre buffer velkost. Ale vacsia ako 16 mb sa asi neda nastavit lebo je to demo.
Skusal uz niekto tento program ? Da sa z toho ziskat aj viac ?
Si ho zdisassembluj a uvidis co v nom je. Teda ak mas na to dostatocne znalosti (povedal by som ze ani ne :). Mnohe disassemblery tusim napr. aj w86dasm zvyraznuju winapi volania apod.
Proces normalnej aplikacie moze ostavat z mnohych dovodov, typicke su hlavne 2 dovody: 1. programator to posral, alebo 2. robi to to co robit ma, ak to ma aj nejaku fcionalitu na pozadi napr. ikonku alebo kontrolu updatov alebo podobne.
Ilegalne aktivity u legalnych aplikacii zo seriozneho zdroja (ne ulozto) su nepravdepodobne, ptz to by si uz zvycajne niekto vsimol.
P.S. ked mas pochybnosti tak to uploadni na virustotal, sice to neni 100% istota ale aspon akotaky prehlad ci v tom neni uz nieco zname.
ProcessExplorer ma taku moznost na pravom tlacitku - ze skontroluje cez virus total, nic nenaslo. Ale to ono kopiruje len nejaky hash suboru, ono ho neanalyzuje co robi/nerobi. (ak tomu spravne rozumiem)
A ak je malware urobeny tak, ze u kazdej obeti si vyberie iny proces na ktory sa prilepi, tak v antivirusovej databaze to nebude, lebo je to prislis custom.
Neodpisal si mi na PM ohladom toho makra co sme sa bavili.
Tím hashem si to kontroluje, jestli už ten soubor nezná. Pokud ho zná, už analýzu znovu neprovádí.
A ten hash je dostatocne presny identifikator ? Lebo ono to odpise co: nazov, velkost, priponu .... lenze ak niekto urobil ten malware v C jazyku, kde staci naviac pridat iba par bajtov alebo co, tak to nebude brat stale za original ?
Alebo ak to aj bolo analyzovane a z povahy suboru normalne vyplyva ze odosiela data niekam a tento malware iba prida jedno dalsie smerovanie dovonka, tak sa to neda posudit asi ze ktore je dobre a ktore nie, ci ?
Ked tam niekto pridal bajt, tak to bude mat iny hash, a bude sa to teda znova scanovat.
Pokud jsi tu aplikaci už ukončil (odinstaloval?), tak přece u toho procesu ve Správci úloh vidíš, odkud se spouští.
Zobrazit - Vybrat sloupce - Cesta k souboru (případně i Popis - pokud už není zvolený). Může to být ale i nějaký "updater", který se spouští s Windows.
Aplikaciu som vypol, nie odinstaloval.
Miesto odkial to ide, je priecinok tej aplikacie.
Updater to neni.
Predtym to tak nefungovalo ako teraz (ze si po sebe neuprace).
Pokud to není updater, tak bys měl tu aplikaci znovu spustit a detailně si projít její nastavení. Třeba tam někde najdeš nějakou zaškrtnutou položku, třeba o hlášení chyb, kontrole update, či nových verzí programu a pod. Když máš podezření na špiona, tak to odinstaluj nebo ve Správci úloh ten proces killni.