Para análise de malwares via WEB, já são famosos os serviços VirusTotal e JottiScan.
Agora o Team Cymru divulgou um serviço muito interessante para verificação simples ou em lote de hashes de arquivos que pode ser utilizado por grupos de resposta a incidentes:
Funciona assim: você primeiro gera a lista de hashes (md5sum / sha1sum) dos seus arquivos suspeitos, depois basta utilizar um cliente whois ou dns para fazer as consultas:
whois input:
$whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74
whois output:
"1221154281 53"
whois interpretação:
A data de entrada do binário está em epoch / unix time.
para traduzir, o melhor comando é "date -d @1221154281" => Thu Sep 11 14:31:21 BRT 2008
depois do espaço, é apresentado o percentual de detecção, ou seja, no exemplo
53% dos anti-vírus utilizados detectaram o hash que você enviou como malware
Mais info aqui para saber como se consulta via DNS e para consultas de arquivos contendo múltiplos hashes (via netcat).
No comments:
Post a Comment