Взлом вируса , анализ вируса и многое другое

Итак, сегодня мы будем отлавливать гейт/фтп/адрес, на которые настроен уже существующий билд стилера.

Нам понядобятся:
o Билд стилера найдете сами
o Wireshark (http://www.wireshark.org)
o Виртуалка (Oracle VirtualBox)

Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.

Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.

Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.

Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":
http://vazonez.com/uploads/p1.png

Мы получили список пакетов, отправленных по FTP:
http://vazonez.com/uploads/p2.png

На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.

Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).

Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида:
http://vazonez.com/uploads/p3.png

Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.

Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:
http://vazonez.com/uploads/p4.png

Декодируем логин и пароль от мыла отправителя при помощи этой веб-морды, заходим в почту и меняем пароль (чтоб поднасрать, ибо нехуй!).

Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.

Автор статьи Vazonez Ссылка