Главная

Автоматический генератор вирусных сигнатур для ClamAV

Втр, 17/03/2009 - 16:20 — admin

Как известно, большая часть вредоносного ПО распространяется в виде исполняемых файлов, обработанных PE-пакером, что бы уменьшить размер и скрыть контент. Обычно когда аналитики определяют что файл является вредоносным и использует PE-пакер, который ClamAV пока еще не может распаковать, приходится вручную выявлять сигнатуру секции данных запакованного PE-файла.

Собственно этой достаточно рутинной работой занимался Браен Кастл из VRT Sourcefire, пока не решил несколько облегчить себе жизнь. Вместо запоминания всех известных PE-пакеров, и секций данных, в которых обитает вредоносный код, он разработал программку, которая этот процесс автоматизирует.

pe-sig - утилита, написанная на Ruby, использует PE-паресер и библиотеку сигнатур от Metasploit 3. Программа автоматически генерирует сигнатуру секции PE-файла, которую можно сразу использовать в ClamAV.

При испытании файла, запакованного pklite, pe-sig выдала следующую сигнатуру:

16384:39ae378e47f13ceecca20d06201d0cc1:SIGNATURE__.pklstb__PKLITE32v1.1 [535]

А вот сигнатура, которая была выделена в середине 2008 года для того же файла:

16384:39ae378e47f13ceecca20d06201d0cc1:Trojan.Downloader

Что называется, найдите 10 отличий.

Если мы исследуем незапакованный PE-файл или использующий пакер, для которого у нас нет сигнатуры, програмка выдаст нам следующее:

157105664:8d85afc534f0b55fde3781a34ee8d995:UNKNOWN__.rsrc

34304:ae582babaad5a738c32ad1c074e1f3e2:UNKNOWN__.text

1024:730893b14fc930a187215e7fb53bc0a5:UNKNOWN__.data

Основываясь на этом можно сделать вывод, что запакованные данные хранятся в .rsrc. Необходимо будет найти сигнатуру для запакованной части исполняемого файла, добавить в лист сигнатур, указав что запакованные данные находятся в .rsrc . Соответственно, когда придется в следующий раз столкнуться с этим же пакером, не нужно будет вспоминать что это за пакер, где у него данные хранятся. Всю эту работу программка сделает за нас.

Утилиту можно скачать здесь: http://www.snort.org/vrt/tools/

Оригинал статьи: http://vrt-sourcefire.blogspot.com/2009/03/generating-virus-signatures-a...

Комментарии

Ср, 27/05/2009 - 20:22 — Гость (не проверено)

 

Кто уже пользовался данной утилитой скажите пожалуйста как она? Стоит качать? и пробовать?

Чт, 27/08/2009 - 20:39 — WE6t5 (не проверено)

 

Спасибо за ценную инфу!

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <em> <strong> <img> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <object> <param> <embed>
  • Строки и параграфы переносятся автоматически.

Подробнее о форматировании

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Image CAPTCHA
Enter the characters shown in the image.