On Tue, Jan 27, 2015 at 08:44:17PM +0100, Marco Predicatori wrote: > > Caro mirko, che tu sappia รจ possibile il download a scopi di > > Malware Analysis di alcuni samples di CTB-Locker? Grazie, > > Eccolo qua, arrivato fresco fresco: > http://we.tl/lQGvqtEJE7 > conto112E266.cab.txt, 24,1 KiB > SHA1 1c2774ba37470aa481028b61bb556432471ae2ea
<administrivia> Premesso che per me potete continuare a scambiarvi sample di malware in lista con le dovute cautele (e, per evitare soprattutto bounce di mail filter che rifiutano allegati cifrati, meglio - come sopra - su qualche sito di cloud storage come sopra che come allegati..) .. ..forse sarebbe utile fare una paginetta con un po' di link per la detection "fai da te" (virustotal[1], ..) o canali a cui inviare i sample sospetti (immagino i produttori di AV, Project Honey Pot, Uni?, gruppi che fanno reversing di malware for fun & profit, etc..) cosi' come canali da cui scaricare in maniera sicura samples (contagio[2], ..) .. ..se qualcuno ha link/cose/etc. da suggerire faccia pure qui, oppure in mail privata a me che poi vedo di fare un sunto.. ..cosi' come se c'e' una paginetta del genere gia' fatta in ita o eng semplicemente da linkare. [1]: https://www.virustotal.com/ [2]: http://contagiodump.blogspot.it/ </administrivia> In relazione allo specifico malware, stamattina verso le 9 quando ho aperto la casella (gli indirizzi delle liste @sik sono un ottimo ricettacolo di spam, malware, etc <g>) l'ho inviato a virustotal e la detection era per il .cab 1/48 e per l'.scr da li' estratto 2/48, ulteriormente non ho ivestigato. A parte questo, non avendo voglia di far partire una v..ehm..non avendo ora a disposizione una vm windows, sono curioso di sapere come reagisce windoze - con un utente !administrator - ad un .cab.. lo apre nell'explorer come fosse un normale file compresso? e administrator/uac/sarca? parte un "install" (in questo caso e' semplicemente un .cab con dentro un .scr, senza altri file tipo .inf & co.) (potrei googlare o provare lo so, ma sono le 23.15 e sono in giro dalle 7.. :) ciao, I. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
