theZoo – Um Repositório de Malware ao Vivo

Descrição

theZoo – Um Repositório de Malware ao Vivo

theZoo é um projeto criado para tornar a possibilidade de análise de malware aberta e disponível para o público. Como descobrimos que quase todas as versões de malware são muito difíceis de encontrar de uma forma que permita a análise, decidimos reunir todas elas para você de maneira acessível e segura. theZoo nasceu de Yuval tisf Nativ e agora é mantido por Shahak Shalev.

theZoo está aberto e recebe visitantes!

Se você está prestes a interagir com a nossa comunidade, por favor, leia nosso CODE-OF-CONDUCT.md antes de fazer isso. Se você pretende contribuir, primeiro – obrigado. No entanto, certifique-se de seguir os padrões em CONTRIBUTING.md .

aviso Legal

O objetivo da theZoo é permitir o estudo de malware e permitir que pessoas interessadas em análise de malware (ou talvez até mesmo parte de seu trabalho) tenham acesso a malware ao vivo, analisem as formas como operam e talvez até mesmo habilitem pessoas avançadas e experientes para bloquear malware específico em seu próprio ambiente.

Por favor, lembre-se que estes são malwares vivos e perigosos! Eles vêm criptografados e trancados por um motivo! NÃO os execute a menos que tenha absoluta certeza do que está fazendo! Eles devem ser usados ​​apenas para fins educacionais (e queremos dizer isso!) !!!

Recomendamos executá-los em uma VM que não tenha conexão com a Internet (ou uma rede virtual interna, se necessário) e sem acréscimos de convidados ou equivalentes. Alguns deles são vermes e tentam se espalhar automaticamente. Executá-los sem restrições significa que você infectará a si mesmo ou a outros com malwares perigosos e perigosos !!!

Começando

Feche o repositório com o git clone https://www.github.com/ytisf/theZoo . Vá para o diretório e execute pip install --user -r requirements.txt . Isso deve instalar todos os requisitos mais recentes necessários. No total pode ser “script” assim:

  clone git https://www.github.com/ytisf/theZoo
 cd theZoo
 instalação pip --user -r requirements.txt

Comece executando o console:

python theZoo.py

Licença

theZoo – o banco de dados de malware gratuito mais impressionante do mundo Copyright (C) 2015, Yuval Nativ, Lahad Ludar, 5fingers

Este programa é software livre: você pode redistribuí-lo e / ou modificá-lo sob os termos da Licença Pública Geral GNU, conforme publicada pela Free Software Foundation, versão 3 da Licença, ou (a seu critério) qualquer versão posterior.

Este programa é distribuído na esperança de que seja útil, mas SEM QUALQUER GARANTIA; sem mesmo a garantia implícita de COMERCIALIZAÇÃO ou ADEQUAÇÃO A UM DETERMINADO FIM. Veja a Licença Pública Geral GNU para mais detalhes.

Você deve ter recebido uma cópia da Licença Pública Geral GNU junto com este programa. Caso contrário, consulte http://www.gnu.org/licenses/ .

Você também pode encontrar mais informações em LICENSE.md .

Documentação e Notas

fundo

O objetivo da theZoo é oferecer uma maneira rápida e fácil de recuperar amostras de malware e código-fonte de forma organizada na esperança de promover a pesquisa de malware.

Arquivos raiz

Desde a versão 0.42, o theZoo vem sofrendo mudanças dramáticas. Agora ele é executado nos modos CLI e ARGVS. Você pode chamar o programa com os mesmos argumentos de linha de comando de antes. O estado padrão atual do tempo de execução do Zoo é o CLI. Os seguintes arquivos e diretórios são responsáveis ​​pelo comportamento do aplicativo.

/conf – A pasta conf contém arquivos relevantes para a execução específica do programa, mas não fazem parte do aplicativo. Você pode encontrar o arquivo EULA no conf e muito mais.

/imports – contém arquivos de importação .py usados ​​pelo restante do aplicativo

/malwares/Binaries – As amostras reais de malwares – tenha cuidado! Estes são muito vivos.

/malware/Source – código-fonte do malware.

Malware sob a pasta Original é suposto ser (sem promessas!) A fonte original do malware que vazou. O malware na pasta Reversed é invertido, descompilado ou parcialmente reconstruído.

Estrutura de Diretórios:

Cada diretório é composto de 4 arquivos:

  • Arquivos de malware em um arquivo ZIP criptografado.
  • SHA256 soma do 1º arquivo.
  • MD5 soma do primeiro arquivo.
  • Arquivo de senha para o arquivo.

Bugs e Relatórios

O repositório que contém todos os arquivos está atualmente em https://github.com/ytisf/theZoo

Enviar Malware

Obtenha o arquivo que você deseja enviar e apenas execute o python prep_file.py file_tosubmit.exe . Ele irá criar um diretório para você. Então apenas submeta isso junto com as mudanças no conf/maldb.db para que possamos saber qual é o malware.

Alterar o log da v0.60:

  • Mover DB para SQLite3.
  • Pesquisando revisão para uma moda freestyle.
  • Corrigido o comando “get”.
  • Mais e mais malwares.

Alterar o log da v0.50:

  • Interface melhor e mais fácil.
  • Impressão alinhada de malwares.
  • Argumentos de linha de comando agora estão funcionando.
  • Adicionado 10 mais malwares (cool) para o DB.

Alterar o log da v0.42:

  • Corrija o EULA para uma declaração adequada.
  • Pesquisa e indexação mais precisas, incluindo plataforma e muito mais.
  • Adicionado 10 novos malwares.
  • Atualização do Git da plataforma e novo malware.
  • Corrigir a exibição da pesquisa.
  • Ativar suporte para plataforma e arquitetura na indexação.
  • Separe entre banco de dados e aplicativo.
  • Melhorias na interface do usuário.

Alterar o log da v0.43:

  • Verifique se o argv está funcionando corretamente. (correções na v0.5)
  • Módulo de upload e indexação do Virus-Total. – Não é possível devido a restrições de VT.
  • Sistema automático de relatórios para malwares que não são indexados no framework.

Alterar o log da v0.50:

  • O pacote de análise de malware foi removido para reduzir o tamanho do clone.
  • Mais documentação foi adicionada.
  • Removida a função de depuração que estava morta no código.

Registro de alterações previsto para v1.0

  • Corrija o preenchimento automático para estruturas de malware. (graças a 5fingers)
  • Considere alterar DB para XML ou SQLite3. (Sheksa – feito ????
  • Melhores recursos da interface do usuário.
  • Corrigir e fazer versão ‘light’ sem malwares com função _MalwareFetch.

Esperançoso

  • Uma interface gráfica.
  • Lançamentos de pacotes

Se você tem alguma sugestão ou malware que você indexou (da maneira descrita na documentação), por favor envie-nos para – thezoo-submissions [at] morirt [.d0t.] Com – para que possamos adicioná-lo para todos os gostos .