Simple Polymorphic Worm

Assalamualaikum..

Beberapa hari lepas saya ada menerima satu sample worm yang bernama “J3MbataN_K4HaYan”. Seperti biasa, selepas terima sample, saya terus membuat statik signature (MD5) dan mengujinya.

Bila diuji, saya dapati ada duplikasi worm ini tidak dapat dikesan(detect) oleh GVR. Saya terus membuka hexeditor dan membezakan kedua-dua sample, yang dapat dikesan dan yang tak dapat dikesan. Gambar dibawah menunjukkan result perbezaan:

Daripada gambar tersebut, kita boleh lihat hanya satu bit sahaja yang berubah. Tapi ia membuatkan enjin pengesan yang menggunakan statik signature seperti Md5, CRC32, SHA-1, tidak dapat mengesan worm ini. Seperti mana yang anda tahu, satu bit sahaja yang berubah boleh merubah nilai Hash.

Oleh kerana itu, saya membuat signature untuk enjin kedua GVR dan worm jenis ini tidak akan terlepas lagi.

Saya sudah beberapa kali mendapat sample malware yang mengunakan teknik polymorphic, tapi sample yang ini adalah contoh teknik polymorphic yang cukup senang untuk melepasi (bypass) enjin detection jenis statik.

Walaupun teknik polymorphic jenis ini mudah untuk diaturcarakan, tapi masih banyak malware yang masih tidak menggunakan teknik ini. Jadi, Enjin pengesan statik masih relevan. Salah satu sebab lainnya adalah enjin ini laju.

p/s: Jika ada kesilapan teori  atau apa sahaja mengenai artikel ini, sila laporkan pada saya. Kerana artikel ini ditulis tanpa rujukan.

usbcillin.exe?

Assalamualaikum…

Ada pengunjung GeeKzLife yang meminta saya menganalisis file usbcillin.exe. Saya menggunakan MyKotakPasir untuk menganalisis secara automatik file tersebut. Report boleh di lihat DISINI.

Berdasarkan report dari MyKotakPasir, software ini tidaklah ‘merosakkan’. Setelah men’google’ mengenai software ini, saya menjumpai laman web : http://www.rajat.com.np/usbcillin.html. Laman web tersebut juga menyediakan batch file untuk membuang software ini dari komputer anda, download disini: http://www.rajat.com.np/remove_USBcillin.bat .

Quick Update: Download Windows 7 RC (7100)

Assalamulaikum…

Anda boleh download terus windows 7 RC (terkini) di laman web microsoft berikut: http://msdn.microsoft.com/en-us/evalcenter/dd353271.aspx

Quick Post: Belajar Menganalisis Malware

Assalamualaikum..

Dulu saya dah ada post link cara menganalisis malware, nie link tambahan:

Malwareinfo.org

Report Dari MyKotakPasir

Assalamualaikum…

Seperti mana yang anda maklum, projek saya semasa menjalani latihan Industri adalah membuat Sandbox. Saya yakin masih ramai yang tidak faham apa itu sandbox sebenarnya. Ok, saya terangkan dalam ‘bahasa melayu’ :).

Sandbox adalah perisian yang dicipta untuk menganalisis aktiviti malware secara automatik. Boleh dikatakan semua semua syarikat Antivirus mengunakan sandbox mereka sendiri untuk menganalisis malware. Bila satu file malware dihantar ke pada sandbox, file itu akan akan dijalankan (execute) di dalam satu persekitaran windows. Kebanyakkan sandbox mengunakan persekitaran maya (Virtual) seperti perisian virtualpc, vmware atau virtualbox untuk menjalankan (execute) malware yang dihantar.

Apabila malware tersebut dijalankan, sandbox akan merekodkan semua aktiviti yang dilakukan oleh malware tersebut seperti file yang dicipta, di delete, di ubah, tetapan registry yang diubah, ditambah, dihapuskan, aktiviti rangkaian (network activity) yang dicetuskan oleh malware tersebut.

MyKotakPasir yang saya bina melibatkan 5 jenis bahasa penturcaraan iaitu C, Visual Basic, Python, Php, dan XML. Persekitaran Sistem Operasi MyKotakPasir ialah Linux (Ubuntu 9.04). MyKotakPasir juga akan mengimbas file yang dihantar menggunakan 6 perisian Antivirus iaitu, Antivir, AVG, Bitdefender, F-Prot, ClamAV, dan Avast.

MyKotakPasir Versi 1.0 sudah hampir siap saya bina. Dibawah adalah contoh Report Dari MyKotakPasir:

• Worm BuluBebek
• Worm Sohanad
• Worm AbangNajib

Jika anda mempunyai sample malware yang ingin dianalisis mengunakan MyKotakPasir, sila email ke saya. Sekian.

Regards, Shahrir Shafie