Hola,
Tengo un fichero Win7SP132bits.dd se corresponde al Master File Table, este ha sido infectado por un malware y necesito saber qué URL fue utilizada para descarga el malware...
He probado Hybrid Analysis, me reporta esta información pero no lo entiendo muy bien:
Detected known bank URL artifact
details
"GET /d/msdownload/update/others/2017/11/25791985_01922f044237dbf51a0b58c5bbd5b37ecd472bdc.cab HTTP/1.1Connection: Keep-AliveAccept: */*User-Agen%WINDIR%\Update-AgentHost: download.windowsupdate.com<" (Source: network.pcap, Indicator: "bdc.ca")
source
String
relevance
10/10
Gracias.
Por lo que parece el host es: download.windowsupdate.com
El dominio no pertenece a microsoft o eso creo xD, usa ese nombre para engañar, aunque parece ser que si pones la direccion te redirige a la pagina oficial de microsoft, en cambio si quitas el subdominio y pones solo windowsupdate.com no se puede mostrar.
la url seria esta: download.windowsupdate.com/d/msdownload/update/others/2017/11/25791985_01922f044237dbf51a0b58c5bbd5b37ecd472bdc.cab