search

Первый блин комом

При исследовании очередной малвари, я решил действовать по стандартному протоколу.

Первым делом я подготовил систему: сделал снапшот, запустил инструменты (Procmon, Process Hacker и Fiddler), после чего попробовал запустить файл.

Неожиданно для меня, прошёл интересный сетевой запрос по адресу: https://ip-api.com/line/?fields=hostingarrow-up-right, но ничего большего я не увидел...

Почему же так вышло?! Я ведь был уверен, что защитил виртуальную машину от обнаружения: переименовал процессы, окна программ, включил всевозможные защиты. Но несмотря на все мои усилия, вредоносное ПО отказалось запускаться. Весьма загадочно.

На этом этапе стало очевидно, что проблема кроется в самой виртуальной машине.

PreviousСообщение в кофейнеNextГлубокий анализ

Last updated