Première page Précédent Suivant Dernière page Image
Exécutables via MyDoom (2/2)
Analyse de surface
- perdr –show-imports : voir les fonctions importées par l'exécutable
- strings(1) : recherche d'une signature caractéristique d'une version de virus donné
Certains exécutables sont dans un format auto-extractible (packers type UPX ou autres)
- Utiliser upx -d pour décompresser l'exécutable
Caractéristiques des exécutables
- Taille(s) (compressé et décompressé) de l'exécutable
- permet parfois d'identifier la variante du virus, via les bases de données des éditeurs d'anti-virus, en se basant sur la nature de propagation observée.
- Ex : exécutables MyDoom observés sur les ports 3127, 3128, 1080, 10080
- Signatures MD5 apparaissent rarement dans les bases de données anti-virus...