ZeusVM analysis — Miasm's blog. In this article, we will study an old Zeus sample protected by a virtual machine.
We will begin with the analysis of the VM structure, and automatize its reverse engineering using Miasm. The sample is ff528fcfb4cb81b788de4e147d4aba09dd7cda472b7825aae9222330b9790ba9.zip. All zips in this post are protected using the password “infected”. This analysis is based on Miasm revision f2a9a35. The corresponding Elfesteem revision is 1ee9171. First Stages The second stage can be emulated using Miasm (see dynamic shellcode analysis for more information). Jitter.vm.add_memory_page(addr + offset_name, PAGE_READ | PAGE_WRITE, bname + "\x00" * 3 +"\x00"*0x10, "Module name %r" % bname_str) Some more work later, we extract the final stage zeusvm_stage3.zip. VM Analysis The targeted function is located at address 0x414795. CFG of the mnemonic handler The interesting part is the loop inside the function. The CALL target is [EAX*0x4+0x427018].
This is called the “mnemonic handler”. First mnemonic Second mnemonic. Nouvelle étude Trend Micro sur les ransomwares. 5 octobre 2016 - Aucun commentaire - Temps de lecture : 4 minute(s) - Classé dans : Malwares Publié par UnderNews Actu Selon une nouvelle étude Trend Micro, 50% des entreprises françaises infectées paient la rançon, mais ne récupèrent pas pour autant leurs données… Si les entreprises ont pour la plupart conscience de la menace, elles sont cependant encore trop nombreuses à céder aux revendications des cybercriminels.
Les ransomwares (ou rançongiciels) ne sont plus une menace anodine : leur nombre croissant, en particulier en 2016, confirme leur succès auprès des cybercriminels à qui ils assurent un revenu conséquent et facile. Petya, Locky ou encore Cerber ont ainsi fait des ravages, paralysant des organisations de toute taille tant administrativement que financièrement. De mieux en mieux outillés, les cybercriminels adaptent et repensent sans cesse leur mode opératoire. La majorité des entreprises françaises paient la rançon Source infographie explicative TrendMicro. Report forcepoint security labs freeman abandonware en. Mac Malware Can Secretly Spy On Your Webcam and Mic – Here's How to Stay Safe. Apple Mac Computers are considered to be much safer than Windows at keeping viruses and malware out of its environment, but that’s simply not true anymore.
It's not because Mac OS X is getting worse every day, but because hackers are getting smart and sophisticated these days. The bad news for Mac users is that malware targeting webcams and microphones has now come up for Mac laptops as well. Patrick Wardle, an ex-NSA staffer who heads up research at security intelligence firm Synack, discovered a way for Mac malware to tap into your live feeds from Mac's built-in webcam and microphone to locally record you even without detection. Wardle is the same researcher who has discovered a number of security weaknesses in Apple products, including ways to bypass the Gatekeeper protections in OS X.
Wardle also released a free tool called RansomWhere? Yes, piggybacking legitimate webcam sessions initiated by you. Here's How Mac Malware Works: How to Prevent Your WebCam and Mic from Being Hacked. Automated Malware Analysis: Pafish for Office Macro. We always have been fans of the famous Pafish tool by Alberto Ortega.
Pafish is a tool to check recent anti-malware analysis tricks and evasions against your favorite sandbox. Moreover it enables to fully study the evasive code. We know that Pafish helped and still helps to improve sandboxes. With payload delivery mechanisms shifting we though it would be nice to have a Pafish-like tool for Office documents. Office documents today are one of the most prominent container to deliver malicious software. You can download the "Pafish Macro" document here as well. We will update the VBA code with new evasions as frequently as possible and are looking forward to contributions! ZATAZ FakeAlert : Découverte d'une infection qui touche la France - ZATAZ. FakeAlert : Détection d’une très forte augmentation du nombre d’échantillons du malware HTML / FakeAlert, à destination de la France.
Il s’agit d’un vecteur d’escroquerie utilisé comme point de départ amenant les victimes à appeler de faux services clients aux coûts exorbitants. HTML / FakeAlert est le nom générique donné par l’éditeur de solution de sécurité informatique ESET. Un terme qui nomme les fausses pages web hébergeant des messages d’alertes. Ces derniers indiquent à l’utilisateur qu’il est infecté par un virus ou qu’il a un autre problème susceptible de compromettre son ordinateur ou ses données. Pour stopper la soi-disant menace, l’utilisateur est invité à contacter par téléphone le faux support technique ou à télécharger une fausse solution de sécurité. Le malware HTML / FakeAlert est généralement utilisé comme point de départ pour ce que l’on appelle les escroqueries de faux support. On ne téléphone pas à cette arnaque passant pas le service #voxbone, merci. Un malware bancaire qui peut tout voler - Securelist.