[Wine] Cool: using Wine to dissect the Storm bot!
Dan Kegel
dank at kegel.com
Tue Dec 30 21:51:22 CST 2008
On Tue, Dec 30, 2008 at 4:52 PM, Dan Kegel <dank at kegel.com> wrote:
> http://blog.mellenthin.de/archives/2008/12/30/25c3-hangover/
> says, in a writeup about the recent CCC meeting,
> "Sehr interessant war Squeezing Attack Traces und Stormfucker: Owning
> the Storm Botnet. Zuerst wurden konkrete Techniken gezeigt, wie man
> Malware analysieren kann. Die Zentrale Idee ist hier, statt eine
> Sandbox (Windows in einer VM) zu verwenden, die Requests unter Linux
> an Wine weiterzureichen. Dort kann man sich an jedem beliebigen Punkt
> reinhängen und die Requests der Malware auseinander nehmen."
>
> Sounds like somebody was using Wine to trace through the Storm bot's code,
> one win32 syscall at a time. Cool!
This may be related:
http://zerowine.sourceforge.net/
It's fairly simple... just a prebuilt qemu image that lets you run a
piece of malware in a wine-on-qemu sandbox with verbose logging
(looks like WINEDEBUG=+relay,+file).
- Dan
More information about the wine-users
mailing list