Basit bir malware scanner

Team Cymru tarafından hazırlanan Malware Hash Registry (MHR) projesi farklı protokoller üzerinden zararlı yazılım sorgulama servisi sağlıyor.

Bilinmeyen veya şüpheli dosyaların hızlıca sorgulanabilmesi için çok kullanışlı bir servis. Servis Whois, DNS ve HTTP/S protokolleri üzerinden dosya md5 veya sha1 hash değeri ile sorgulama yapmanıza olanak sağlıyor.

Cymru ekibi ayrıca Windows bilgisayarlar için, çalışan işlemleri ve disk üzerindeki dosyaları tarayabileceğiniz WinMHR adlı yazılımı kullanımınıza sunuyor.

Peki farklı platformlarda bu servisi kullanabileceğimiz basit bir malware scanner hazırlayabilir miyiz? Pek tabi. Bunun için DNS protokolü üzerinden çalışan bir script hazırladım.

Cymru malware scanner yazılımı Python ile hazırlanmış çok basit bir script. Yaptığı iş kendisine verdiğiniz dosyanın md5 özetini almak ve DNS protokolü üzerinden bunu MHR servisine sorgulamak.

Peki birden fazla dosya üzerinde bunu nasıl kullanabiliriz? Aşağıdaki gibi basit bir komut satırı döngüsü işinizi görecektir.

~/zararli$ for f in *; do ~/tools/scripts/cymru-malware-scanner.py $f; done
2RgU-server-bifrost.exe: Malware found!
643244763-dorkbot.gif: Malware found!
_com.allen.txthej_1_1.0_DroidKungFu.apk: Malware found!
eicar.com: Malware found!
FACEBOOK-DSC0000897643228312.jpg.exe: Malware found!
filegui-spyeye.exe: Malware found!
jSMSHider-org.expressme.love.ui.apk: Malware found!
net.maxicom.android.snake_7937c1ab615de0e71632fe9d59a259cf.apk: Malware found!
SoftonicDownloader_para_kaspersky-tdsskiller.exe: Clean – according to Cymru database
VALENTINE.exe: Clean – according to Cymru database
winzip.exe: Clean – according to Cymru database
Zitmo_tr_ECBBCE17053D6EAF9BF9CB7C71D0AF8D.apk: Malware found!
~/zararli$

 

Yukarıdaki örnek çıktıda da görülebileceği gibi, kötücül yazılımları (malware) çok hızlı bir şekilde algılama şansımız oldu. Ancak dikkat edilmesi gereken diğer bir konu, örneğin valentine.exe adlı yazılım çok yeni bir malware ve Cymru veritabanına göre bu dosyada bir problem bulunmuyor (Belki kısa bir süre sonra algılayabilir hale gelecektir). Bu nedenle hazırladığımız bu basit malware scanner’ı, bir sonraki adımda Virustotal ile entegre etme işine girişebiliriz.

Yazılımı buradan indirebilirsiniz.

 

Leave a Reply

Your email address will not be published. Required fields are marked *