Discussoes de Programacao e Tecnologia

Analise de 1 codigo fonte malicioso( ou não?)

3 respostas
A
alexandrewz

Opa galera, recentemente entrei em contato com um arquivo que começou a gerar lentidão no meu computador, o arquivo parecia executar algum outro com extensão .jar.
Por meio do java decompiler consegui acessar creio que parte do código fonte deste .jar, vou postar para vocês:

http://pastebin.com/1f453jSE

Tentei usar meus conhecimentos limitados que aprendi em programação na faculdade de engenharia mas não consegui entender muito o que se passa, parece q ele edita alguns registros do windows, alguém pode dar uma olhada?

Abraços

Alura Desenvolvimento Back-End Java Sua Carreira em desenvolvimento back-end Java: dos fundamentos à arquitetura de sistemas...

3 Respostas

E
entanglement

Bom, você postou os fontes de uma classe que aproveita a implementação de java.util.prefs.Preferences (que acessa algumas partes limitadas do Registry) para acessar outras partes do Registry que ele não deveria acessar.

Como você não descompilou todo o código, não sei que chave ele está tentando mexer :frowning:

A
alexandrewz

Eu to tentando conseguir o arquivo .jar denovo, mas não estou conseguindo. Tenho o .exe que executa o .jar e talvez mais coisas junto, mas agora quando tento re-executar o programa ele fala q /temp/install.jar ta faltando. Esse install.jar foi o que eu tentei descompilar, vou tentar ver se consigo achar ele denovo pra tentar descompilar denovo.

A
alexandrewz

Cara, fiz o seguinte, reiniciei o windows, deixei ele executar o virus, porem com a internet desligada e deixei ele rodar o javaw.exe por apenas um tempo, consegui recuperar o arquivo .jar inteiro e mais varias coisas, pois enquanto ele rodava fiquei olhando a pasta temp do windows saca só o que achei:

appremover_log.txt:

Sat May 18 17:08:02 2013 *** Calling DetectProducts ***
Sat May 18 17:08:02 2013 *** with arguments: iMode:0 option:0 fileGen:false
Sat May 18 17:08:19 2013 Succeeded to read QATestedProducts
Sat May 18 17:08:19 2013 Succeeded to read ProductReleaseNotes
Sat May 18 17:08:19 2013 Found Avira GmbH Avira Free Antivirus 12.1.9.1236 (SEC_ID: 9) (INDEX: 744)
Sat May 18 17:08:19 2013 Found Microsoft Corp. Windows Defender 6.1.7600.16385 (SEC_ID: 10) (INDEX: 414)
Sat May 18 17:08:19 2013 Found Avira GmbH Avira Free Antivirus 12.1.9.1236 (SEC_ID: 10) (INDEX: 744)
Sat May 18 17:08:19 2013 Found Microsoft Corp. Microsoft Windows Firewall 7 (SEC_ID: 11) (INDEX: 2030)
Sat May 18 17:08:19 2013 Found Microsoft Corp. Internet Explorer 9.0.8112.16421 (SEC_ID: 1) (INDEX: 83)
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <H+BEDVDatentechnikGmbH><><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Anonymizer,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <AppleInc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Ebay,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Google,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Netcraft,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <>
Sat May 18 17:08:19 2013 Product/s will be excluded: <>
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Microsoft Corp. Internet Explorer 9.0.8112.16421
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Microsoft Corp. Windows Defender 6.1.7600.16385
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Avira GmbH Avira Free Antivirus 12.1.9.1236
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Microsoft Corp. Microsoft Windows Firewall 7
Sat May 18 17:08:19 2013 *** Calling InternalDataConversion ***
Sat May 18 17:08:19 2013 *** Calling DestroyProductList ***
Sat May 18 17:08:19 2013 *** Calling DestroyAppRemoverCore ***

AUCHECK_PARSER.txt

—[Mon May 20 01:21:55 2013] debug : Read the file “C:\ProgramData\Sun\Java\Java Update\jaureglist.xml” into buffer
[Mon May 20 01:21:55 2013] debug : Reached the end of the file
[Mon May 20 01:23:25 2013] debug : Read the file “C:\ProgramData\Sun\Java\Java Update\jaureglist.xml” into buffer
[Mon May 20 01:23:25 2013] debug : Reached the end of the file

java_install_reg.log

http://pastebin.com/Qcs46PMN

JavaDeployReg.log

http://pastebin.com/Rx9TC67N

Eu tenho o source code acho que inteiro agora, mas ele veio em arquivo .zip pq sao varias partes.

Se você quiser eu posto ele aqui, mas vai uma screen pra vc ter uma ideia do que tem nele

984t4o.png1366×768

Com isso da pra ter uma ideia melhor sera?

Criado 21 de maio de 2013
Ultima resposta 21 de mai. de 2013
Respostas 3
Participantes 2

Topicos relacionados

Como saber se um mes tem 4 ou 5 semanas?[RESOLVIDO] 31 respostas Como converter inteiro para string! 13 respostas Comando SELECT para selecionar intervalo de data SQL SERVER 12 respostas &, &&, |, ||. Qndo usar? 6 respostas O método split 12 respostas
Alura O que são algoritmos e lógica de programação e como aprender? Entenda o que são algoritmos e lógica de programação e qual é a importância desses conceitos para começar a programar
Casa do Codigo Desbravando SOLID: Praticas avancadas para codigos de... Por Alexandre Aquiles — Casa do Codigo