介绍个好玩的：CIMA Comodo病毒在线分析服务(在线沙盘)

ubuntu

CIMA Comodo病毒在线分析服务(在线沙盘)


Comodo Instant Malware Analysis (CIMA)        

CIMA 是随着CIS发布以后，Comodo推出的云端服务(不好意思，云了。
实际上就是一个在线沙盘服务，换一种吸引眼球的说法，至于是真云、假云，我就不管了)。

你可以上传可疑文件(必须是可执行文件 ) ，CIMA会实时运行和分析，生成一份详尽的报告,
这份报告会记录是否有可疑行为。

CIMA的好处是分析结果马上就可以看到，不像某些在线沙盘，只能用email，需要等待。

CIMA的缺点，刚推出不久，稳定性可能不如其它老牌在线沙盘，需要改进。
尤其是对最新病毒的检测，沙盘是虚拟环境，某些病毒，有行为遗漏，是正常的
另外，网站的界面，报告的界面也需要改进。
CIMA 不能处理交互式的程序，就是类似需要点“下一步” 这样的程序。

CIMA除了是一个在线病毒分析系统外，同时也是一个病毒收集系统
任何上传的报可疑的文件，将会送到Comodo病毒研究实验室，进行人工分析。
如果，确定是病毒，特征码将会随下一次病毒库更新发布。

据说，CIMA马上会集成到新版的CIS，作为CIS/CAV的启发式。
具体是扫描启发还是运行启发，发布就会知道。
CIS会加入CIMA启发，肯定可以提高侦测率。




下面，我们具体看一下CIMA的分析过程：

CIMA的网址： http://camas.comodo.com

如图所示：
选择要上传的可疑文件
同意条件
上传，Upload File



稍等一会儿，分析报告就会出来

这是分析报告，图上我已经用中文进行了标注。
有很多行为：注册表、文件、驱动、进程、线程
加载的模块、API Calls、DNS查询、HTTP查询。。。



对一般用户最重要的是结论(Verdict)和具体描述(Description)        

结论(Verdict)        
Rated as [2] Suspicious by 5 Report Entries
评估为[2]级可疑，原因是有5个可疑行为、项目
等级是通过加权实现的，后面会看到
报[2]级可疑，说明是病毒的可能性非常大

具体描述(Description)        
[1] Copies self to other locations
[1] 复制自身到其它目录

[1] Creates files in windows system directory
[1] 在Windows系统目录创建文件

[1] Creates system services or drivers
[1] 创建系统服务或驱动

[2] Creates system services or drivers
[2] 创建系统服务和驱动

可以看到，单独一个创建系统服务和驱动，只是有点可疑，[1]级
但是，当由[1] 复制自身到其它目录、[1] 在Windows系统目录创建文件、
[1] 创建系统服务或驱动 构成一个连续的行为，最后的创建系统服
务和驱动，会非常可疑，上升到[2]级

那么具体的可疑行为是什么？
由三个叹号开始的行为就是可疑行为，例如：
!!! LM\System\CurrentControlSet\Services\Windows Mestk\ImagePath|REG_EXPAND_SZ|50|"C:\WINDOWS\Windows Mestk"

LM表示 HKEY_LOCAL_MACHINE
CU表示 HKEY_CURRENT_USER

以前结论、描述、可疑行为都是红色高亮的
后来CIMA升级就没了，希望以后加上。

这个样本是一个鸽子，IE7 0day溢出以后，后台下载的生成物。
CIMA还可以看到网络行为，DNS查询，HTTP查询，和要获取的文件(yang.txt)        

此样本的CIMA报告网址：
http://camas.comodo.com/cgi-bin/submit?file=9721805b608aa2b824fa31189955558f98964af5a3802992b1821e59f3823396



分析下一个样本，目前，我只能点浏览器的后退，然后再上传



下面是另外一个报告。



[Verdict] 结论
报[2]级可疑，6个可疑行为

[Description] 具体描述

[1] Creates files in windows system directory
[1] 在Windows系统目录创建文件

[1] Injects code into other processes
[1] 注入代码到其它进程

[1] Registers dynamic link libraries
[1] 注册动态链接库

[2] Deletes self
[2] 删除自身

此样本CIMA报告网址：
http://camas.comodo.com/cgi-bin/submit?file=c3b1e6c95f98c82dd914b6e621c8b44309bf4ddc3f5d7a55f0e23e2106b5b539


对于系统内可疑程序，无法确定的，可以上传CIMA分析
对于VirusTotal只有很少杀软报的样本，可以进一步用CIMA分析行为
顺便说一句，12月初，CIS已经加入VirusTotal 多引擎扫描服务

如果你现在看到上面链接和我截图不一样，缺了很多项
说明CIMA在抽风，网站不能显示完整的报告，服务器哪里歇菜了
我现在才了解，为什么以前有时分析的结果不对

原来CIMA不是那么菜

huai168an

CIS刚推出   CIMA就接着出来了


一开始  我以为是病毒上报服务呢，真够囧的

[ 本帖最后由 huai168an 于 2008-12-31 17:17 编辑 ]

llxm920

等着新版CIS``

秘书

额 我觉得我还用不到

看看他的发展

cqpreson

看起来很不错，可以分析病毒行为，似乎可以不动用虚拟机。

Magis

新版的CIS AV部分的行为启发貌似就是基于这个的。

1e3e

谢谢，又知道了一个在线沙盘，不过英文水平不太好，看不太懂

屠龙猛男

好东东 收藏备用

厨房菜刀

收藏备用 谢了

Mr.Z

原來有這個功能...沒留意呢