Анализ кряка
Анализировать буду инструмент активации кряка Maltego XL
Используя virustotal.com, обнаруживаем 31 детект антивирусов. Большинство из них малоиспользуемые и возвможно детектят сам кейген для самого софта. Чуть проанализировав каждый детект, можно заметить такие названия, как Not-a-virus:AdWare.Win32.DrFarfar.br, Adware.DrFarfar.Script.5, Adware.DrFarfar и т.д. Подобных детектов насчитывается с 4. Это означает, что в софте вероятно вшит Adware. Adware не предоставляет угрозы, но могут показывать вам рекламу, менять поисковую выдачу, подсовывая одни сайты взамен других, собирать о вас данные, чтобы в дальнейшем подстраивать контекстную рекламу под ваши интересы, или делать все это сразу.
Также, проанализировав соединения, среди доменов ничего не находим, но среди IP адресов замечаем один из вредоносных адресов:
11 детектов это очень много для айпи адреса. Просмотрев его, вирустотал идентифицирует его, как C2 ботнет сервер Cobalt Strike
Подведя итог: по данным, полученным с вирустотала, вероятно это Adware.
Краткая сводка: Софт активации написан на языке C/C++, написан в среде Microsoft Visual Studio 2013 и скомпилирован 18 версией Microsoft Visual C/C++.
Самое интересное бросается в глаза, а именно использование двух пакеров. Один из которых UPX, а второй, также upx. Проверим насколько сильно сжат файл с помощью энтропии:
Получаем 97% сжатия. Несколько детектов на вирустотале определяют файл, как дроппер, скорее всего это потому что UPX распаковывает файл. Также проанализировав импорты я заметил библиотеку IPHLPAPI.DLL, которая отвечает за:
- получение информации о сетевом интерфейсе;
- управление IP-адресами и таблицами маршрутизации;
- диагностика сети;
- разрешение имён DNS.
Исследуемое ПО является Adware с вероятностью 70%. Об этом говорят анализы антивируса, поиск по хешу ПО и импорты. Также ПО имеет связь с вредоносным адресом, который, вероятно позволяет софту догружать другие вредоносные программы. Рекомендуется запускать софт на чистой виртуальной машине