Instituto Militar de Engenharia

Zero Wine
AUTOMATED MALWARE ANALYSIS SYSTEM

Viso Geral
O que o Zero Wine? um projeto de pesquisa open source (GPL v2) para anlisar dinamicamente o comportamento de malware.

Viso Geral

Zero Wine executa o malware usando WINE num sandbox (em um ambiente isolado) coletando informao sobre as chamadas APIs do programa.

Viso Geral

A sada gerada pelo WINE (usando a varivel de ambiente WINEDEBUG) so as chamadas APIs usadas pelo malware (e seus valores).

Viso Geral

Zero Wine distribuda como uma imagem de uma mquina virtual QEMU com um sistema operacional Debian. Atualmente o Zero Wine no permite mais de uma analise de malware por vez. No futuro ser implementado uma fila.

Instalao

Instalao

Instalao

Rodando VM com QEMU

Submisso

Sumrio

Relatrio

Strings

File headers

Signature

Submisso

Submisso e o QEMU

Antes do reports_cleaner.py

Depois do reports_cleaner.py

Viso Geral
No estgio atual, o Zero Wine s faz uso dos seguintes componentes: * QEMU/KVM, para o gerenciamento de ambientes de anlise virtualizados. * Python, para automatizar processo de anlise e gerenciar as tarefas. * Wine, para executar arquivos com o formato PE.

Viso Geral
Desvantagens: No tem fila. S analisa arquivos no formato PE. Tem problemas com vrios packers. Ex: Armadillo. Existem vrias tcnicas de deteco do Wine. Ex: Verificao dos registradores HKLM\Software\Wine e HKCU\Software\Wine. Obs: O malware escrito para escapar do Zero Wine escapar.

Referncias

Project's web page: http://sourceforge.net/projects/zerowine WINE: http://www.winehq.org QEMU: http://bellard.org/qemu/ PEFile by Ero Carrera: http://code.google.com/p/pefile/ PEIdSignatures: http://code.google.com/p/pefile/wiki/PEiDSignatures PEId: http://www.PEiD.info/ Python: http://www.python.org