Análisis de comportamiento de infección iLivid / iLivid

2

Aunque muchos analizadores de malware han realizado muchas encuestas e informes sobre iLivid, decidí inspeccionar iLivid independientemente de las investigaciones anteriores.

He leído muchos informes sobre iLivid pero cuando procedí a la encuesta descargué iLivid de su dominio oficial. Entonces, tengo las siguientes preguntas de mi observación:

1) No observé ningún comportamiento malicioso por lo que he leído en los informes, por ejemplo: secuestro del navegador, cambio de configuración de DNS, cambio de página de inicio, instalación de complementos adicionales, ... y principalmente puedo decir que no lo hice. Ver cualquier comportamiento malicioso. Entonces, supuse que tal vez hay una diferencia entre la versión de iLivid de su dominio oficial y la versión que los usuarios se infectan a través de enlaces inventados difíciles. Tal vez el primero es seguro y el segundo es el malicioso. ¿Es esto posible y una conjetura razonable?

pregunta principal : si hay versiones seguras e inseguras de iLivid, ¿cómo puedo infectar mi sistema con iLivid ??? !!

2) ¿Es natural que el malware se comporte de manera diferente según el contexto? Porque cuando observé el informe, se informaron una gran variedad de trabajos malos.

3) iLivid se presenta como un producto de Banadoo media inc. Hay algunas otras aplicaciones que se presentan como producto de esta empresa. No he encontrado nada sobre esta empresa. Todas las aplicaciones de esta compañía tienen mala reputación y son sospechosas en los informes. Creo que solo es una compañía nominal y ¿sabes algo sobre esta compañía?

4) Cuando ejecuto Babylon e IDM.exe mientras iLivid ejecuta iLivid, dos .dll no relacionado, uno de Babylon, que es Captlib.dll y otro de IDM.exe , que es dmmkb.dll . No sé cómo analizar este comportamiento. Por favor ayuda si puedes!

    
pregunta Mohammadreza 19.01.2016 - 16:40
fuente

1 respuesta

2

Varios sitios clasifican iLivid como un PUP en lugar de un simple malware. La definición en parte dice:

  

Dicho software puede usar una implementación que pueda comprometer la privacidad o debilitar la seguridad de la computadora. Las empresas a menudo combinan la descarga de un programa deseado con una aplicación de envoltura y pueden ofrecer la instalación de una aplicación no deseada, y en algunos casos sin proporcionar un método claro de exclusión.

Su declaración de "Puedo decir que no vi ningún comportamiento malicioso". Parece inusual: encontré una serie de informes de finales de 2016 que indican que se esperaba una redirección de la página de inicio y la instalación de la barra de herramientas.

Los informes también sugieren que se sabe que se eliminó un keylogger con iLivid, y su mención de encontrar Captlib.dll , prima facies, parece sugerente que esto sucedió en su sistema. Puede ser que en el momento de la instalación, iLivid se enfocó en el sigilo (aunque dado su modelo de ingresos relacionados con la publicidad, parece un poco inusual).

Si fuera usted, creo que consideraría ejecutar una captura de paquetes en busca de actividad automatizada y, en particular, para C & C / exfiltration. Puede que le resulte más fácil hacer una primera ejecución con algo como Cuckoo Sandbox , como un medio para probar si puede replicar los informes que obtuvo. Eres curioso en primer lugar.

    
respondido por el iwaseatenbyagrue 26.03.2017 - 16:33
fuente

Lea otras preguntas en las etiquetas