Dnešný článok je venovaný hlavne začiatočníkom v obore malware analýzy. Jeho hlavná časť je venovaná problematike packerov používaných malware autormi. Podrobne si popíšeme ako fungujú a aký postup zvoliť pri ich odstraňovaní. Teóriu si potom prakticky vyskúšame. Nakoniec si pozrieme správanie vzorky v systéme a postup pri jej čistení. Pracovať budeme so vzorkou banker trojanu Zeus (Zbot/Wsnpoem), ktorý som vybral zámerne, pretože sa jedná o veľmi aktívnu hrozbu s obrovským počtom infikovaných PC po celom svete.

UPOZORNENIE: Pri manipulovaní so vzorkami malware buďte veľmi opatrní. Vždy používajte systém na to špeciálne určený, taký, ktorý vám aj v prípade poškodenia nebude chýbať. So súbormi priloženými k článku manipulujete len na vlastné riziko a autor ako aj portál secit.sk nenesie zodpovednosť za žiadne škody spôsobené nesprávnym zaobchádzaním s nimi.

Každú analýzu vzorky začínam jej oskenovaním pomocou služby Virustotal[1]. Ako sa bude vzorka správať v systéme, aké súbory vytvorí a mnoho ďalších informácii môžme získať aj bez toho, aby sme ju sami spustili. Stačí využiť jeden s online sandboxov. Ja zvyknem používať Anubis[2].

V našom prípade však analýza nedopadla tak ako sme si predstavovali. Bola prerušená kvôli výnimke vyvolanej viac ako 31 tisíc krát. Výsledok. Nepochybne to bol aj zámer autora. Aby prebehla analýza úspešne, musíme zo vzorky odstrániť ochrannú vrstvu, packer v ktorom je binárka trojana zabalená. Môžme si to predstaviť akoby bola uložená v kufri alebo trezore. Táto ochrana je bežne používaná v softwarovom priemysle. Postupne ju však začali s radosťou využívať aj autori malware.