AntiMalware Doctor -> Vacuna y análisis [RETO]

Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de

Foro de elhacker.net

Seguridad Informática

Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])

AntiMalware Doctor -> Vacuna y análisis [RETO]

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1] 2 3

Autor

Tema: AntiMalware Doctor -> Vacuna y análisis [RETO] (Leído 10,045 veces)

DarkItachi

Desconectado

Mensajes: 511

Itachi Uchiha

AntiMalware Doctor -> Vacuna y análisis [RETO]

« en: 24 Marzo 2010, 20:21 »

Buenas, ayer me infecté con este virus y no se cómo, me destrozó el arranque de xp así que voy a proponeros un reto, crear un análisis y vacuna de este virus, que ha mutado, la información de internet no es del todo cierta ya que han cambiado nombre de procesos y tal, este reto va especialmente dedicado a Novlucker, viejo amigo que creó por una solicitud mía la vacuna del sasan.a, así que Novlucker y demás personas, tenéis un nuevo reto. Analizarlo y crear una vacuna, da igual el lenguaje. Es una forma de fomentar vuestros conocimientos. Mandadme mp y os mandaré el virus travieso comprimido en winrar con contraseña, anda que no costó reternelo xD. Buena suerte a todos

.

Personas que aceptaron el reto

Novlucker - ANÁLISIS VACUNA
skapunky - ANÁLISIS
Hacker_Zero - FALTA VACUNA Y ANÁLISIS
seba123neo - ANÁLISIS
secMAM - FALTA VACUNA Y ANÁLISIS


« Última modificación: 26 Marzo 2010, 11:24 por DarkItachi »	En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

skapunky

Electronik Engineer &
CoAdmin

Desconectado

Mensajes: 3.421

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #1 en: 24 Marzo 2010, 20:39 »

Anda..pasame por privado el exe >:D

. Haber si se deja destripar bien.


	En línea

Nuevo Blog personal sobre electrónica: aquí.

DarkItachi

Desconectado

Mensajes: 511

Itachi Uchiha

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #2 en: 24 Marzo 2010, 20:43 »

Cita de: skapunky en 24 Marzo 2010, 20:39

Anda..pasame por privado el exe >:D

. Haber si se deja destripar bien.

Ya te lo pasé, mucha suerte


	En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

Novlucker

Ninja y
Ex-Staff

Desconectado

Mensajes: 10.239

Yo que tu lo pienso dos veces

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #3 en: 24 Marzo 2010, 20:45 »

Nooooo!!
Llego a casa dentro de 5 hrs más o menos, y destripar este Rogue va a ser MUY fácil, no se lo pases a skapunky :-(

Saludos


	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

[Zero]

Moderador

Desconectado

Mensajes: 1.057

CALL DWORD PTR DS:[0]

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #4 en: 24 Marzo 2010, 20:52 »

Mándamelo

.

Saludos


	En línea

H-Sec

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

DarkItachi

Desconectado

Mensajes: 511

Itachi Uchiha

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #5 en: 24 Marzo 2010, 20:57 »

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestiasç

EDITO:

Skaupunky a mi se me descomprime bien :s Y lo he probado en otro ordenador :S


« Última modificación: 24 Marzo 2010, 21:06 por DarkItachi »	En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

seba123neo

Desconectado

Mensajes: 3.206

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #6 en: 24 Marzo 2010, 21:00 »

Cita de: DarkItachi en 24 Marzo 2010, 20:57

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso :xD


	En línea

Mucha gente, especialmente la ignorante desea castigarte por decir la verdad, por ser correcto, por ser tú. Nunca te disculpes por ser correcto, o por estar años delante de tu tiempo.
Si estas en lo cierto, y lo sabes, que hable tu razón. Incluso si eres una minoria de uno solo, la verdad sigue siendo la verdad. M. Gandhi

DarkItachi

Desconectado

Mensajes: 511

Itachi Uchiha

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #7 en: 24 Marzo 2010, 21:06 »

Cita de: seba123neo en 24 Marzo 2010, 21:00

Cita de: DarkItachi en 24 Marzo 2010, 20:57

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso :xD

Te mando el virus? Y así de paso me dices si se te descomprime bien?


	En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

seba123neo

Desconectado

Mensajes: 3.206

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #8 en: 24 Marzo 2010, 21:11 »

Cita de: DarkItachi en 24 Marzo 2010, 21:06

Cita de: seba123neo en 24 Marzo 2010, 21:00

Cita de: DarkItachi en 24 Marzo 2010, 20:57

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso :xD

Te mando el virus? Y así de paso me dices si se te descomprime bien?

dale (no es un chat ya se)


	En línea

skapunky

Electronik Engineer &
CoAdmin

Desconectado

Mensajes: 3.421

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #9 en: 24 Marzo 2010, 21:15 »

Informe Skapunky

Aquí iré poniendo todo lo que vaya encontrando:

Ejecutable:

El olly avisa que el archivo está comprimido, cifrado...vaya que con olly sale jodido. (Sale gran cantidad de memória vacia por la compresion del ejecutable).

1. Se conecta a la IP 91.212.226.53 por el puerto 80. (TCPview)

2. Crea el archivo enemies.names.txt y hookdll.dll (Al ejecutarlo)

3. Crea varias claves en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Antimalware Doctor Inc\Antimalware Doctor\ con varios valores.

También en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\ Con algúnas subclaves.

(Las claves se pueden comprovar mediante regshot o similares en máquina virtual)

Hookdll.dll
- Sobre la libreria Hookdll.dll el olly tiene problemas al leerla, el entry point está modificado o quizá es porque es dinámica, ya pensaré algo.

- La librería me temo que tiene la función de hacer que el ejecutable tenga característica de rootkit y se inyecte en explorer.exe

Continuare...


« Última modificación: 24 Marzo 2010, 21:25 por skapunky »	En línea

Nuevo Blog personal sobre electrónica: aquí.

seba123neo

Desconectado

Mensajes: 3.206

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #10 en: 24 Marzo 2010, 21:48 »

dependencias:

Código:

activeds.dll C:\WINDOWS\system32\activeds.dll
adsldpc.dll C:\WINDOWS\system32\adsldpc.dll
advapi32.dll C:\WINDOWS\system32\advapi32.dll
advpack.dll C:\WINDOWS\system32\advpack.dll
apphelp.dll C:\WINDOWS\system32\apphelp.dll
atl.dll C:\WINDOWS\system32\atl.dll
authz.dll C:\WINDOWS\system32\authz.dll
browseui.dll C:\WINDOWS\system32\browseui.dll
cabinet.dll C:\WINDOWS\system32\cabinet.dll
cdfview.dll C:\WINDOWS\system32\cdfview.dll
certcli.dll C:\WINDOWS\system32\certcli.dll
cfgmgr32.dll C:\WINDOWS\system32\cfgmgr32.dll
clusapi.dll C:\WINDOWS\system32\clusapi.dll
comctl32.dll C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
comdlg32.dll C:\WINDOWS\system32\comdlg32.dll
credui.dll C:\WINDOWS\system32\credui.dll
crypt32.dll C:\WINDOWS\system32\crypt32.dll
cryptui.dll C:\WINDOWS\system32\cryptui.dll
cscdll.dll C:\WINDOWS\system32\cscdll.dll
dbghelp.dll C:\WINDOWS\system32\dbghelp.dll
devmgr.dll C:\WINDOWS\system32\devmgr.dll
dhcpcsvc.dll C:\WINDOWS\system32\dhcpcsvc.dll
dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
dot3api.dll C:\WINDOWS\system32\dot3api.dll
dot3dlg.dll C:\WINDOWS\system32\dot3dlg.dll
duser.dll C:\WINDOWS\system32\duser.dll
eapolqec.dll C:\WINDOWS\system32\eapolqec.dll
eappcfg.dll C:\WINDOWS\system32\eappcfg.dll
eappprxy.dll C:\WINDOWS\system32\eappprxy.dll
efsadu.dll C:\WINDOWS\system32\efsadu.dll
esent.dll C:\WINDOWS\system32\esent.dll
gdi32.dll C:\WINDOWS\system32\gdi32.dll
gdiplus.dll C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll
hlink.dll C:\WINDOWS\system32\hlink.dll
hnetcfg.dll C:\WINDOWS\system32\hnetcfg.dll
ieframe.dll C:\WINDOWS\system32\ieframe.dll
iertutil.dll C:\WINDOWS\system32\iertutil.dll
ieshims.dll Path not Found.
ieui.dll C:\WINDOWS\system32\ieui.dll
imagehlp.dll C:\WINDOWS\system32\imagehlp.dll
imgutil.dll C:\WINDOWS\system32\imgutil.dll
imm32.dll C:\WINDOWS\system32\imm32.dll
inetcomm.dll C:\WINDOWS\system32\inetcomm.dll
iphlpapi.dll C:\WINDOWS\system32\iphlpapi.dll
kernel32.dll C:\WINDOWS\system32\kernel32.dll
linkinfo.dll C:\WINDOWS\system32\linkinfo.dll
lz32.dll C:\WINDOWS\system32\lz32.dll
mfc42u.dll C:\WINDOWS\system32\mfc42u.dll
mlang.dll C:\WINDOWS\system32\mlang.dll
mobsync.dll C:\WINDOWS\system32\mobsync.dll
mpr.dll C:\WINDOWS\system32\mpr.dll
mprapi.dll C:\WINDOWS\system32\mprapi.dll
mprui.dll C:\WINDOWS\system32\mprui.dll
msasn1.dll C:\WINDOWS\system32\msasn1.dll
msfeeds.dll C:\WINDOWS\system32\msfeeds.dll
msgina.dll C:\WINDOWS\system32\msgina.dll
mshtml.dll C:\WINDOWS\system32\mshtml.dll
msi.dll C:\WINDOWS\system32\msi.dll
msimg32.dll C:\WINDOWS\system32\msimg32.dll
msls31.dll C:\WINDOWS\system32\msls31.dll
msoert2.dll C:\WINDOWS\system32\msoert2.dll
msrating.dll C:\WINDOWS\system32\msrating.dll
mssign32.dll C:\WINDOWS\system32\mssign32.dll
msvcp60.dll C:\WINDOWS\system32\msvcp60.dll
msvcrt.dll C:\WINDOWS\system32\msvcrt.dll
mswsock.dll C:\WINDOWS\system32\mswsock.dll
netapi32.dll C:\WINDOWS\system32\netapi32.dll
netcfgx.dll C:\WINDOWS\system32\netcfgx.dll
netman.dll C:\WINDOWS\system32\netman.dll
netplwiz.dll C:\WINDOWS\system32\netplwiz.dll
netrap.dll C:\WINDOWS\system32\netrap.dll
netshell.dll C:\WINDOWS\system32\netshell.dll
netui0.dll C:\WINDOWS\system32\netui0.dll
netui1.dll C:\WINDOWS\system32\netui1.dll
netui2.dll C:\WINDOWS\system32\netui2.dll
normaliz.dll C:\WINDOWS\system32\normaliz.dll
ntdll.dll C:\WINDOWS\system32\ntdll.dll
ntdsapi.dll C:\WINDOWS\system32\ntdsapi.dll
ntlanman.dll C:\WINDOWS\system32\ntlanman.dll
occache.dll C:\WINDOWS\system32\occache.dll
odbc32.dll C:\WINDOWS\system32\odbc32.dll
ole32.dll C:\WINDOWS\system32\ole32.dll
oleacc.dll C:\WINDOWS\system32\oleacc.dll
oleaut32.dll C:\WINDOWS\system32\oleaut32.dll
oledlg.dll C:\WINDOWS\system32\oledlg.dll
olepro32.dll C:\WINDOWS\system32\olepro32.dll
onex.dll C:\WINDOWS\system32\onex.dll
powrprof.dll C:\WINDOWS\system32\powrprof.dll
printui.dll C:\WINDOWS\system32\printui.dll
psapi.dll C:\WINDOWS\system32\psapi.dll
query.dll C:\WINDOWS\system32\query.dll
qutil.dll C:\WINDOWS\system32\qutil.dll
rasapi32.dll C:\WINDOWS\system32\rasapi32.dll
rasdlg.dll C:\WINDOWS\system32\rasdlg.dll
rasman.dll C:\WINDOWS\system32\rasman.dll
regapi.dll C:\WINDOWS\system32\regapi.dll
rpcrt4.dll C:\WINDOWS\system32\rpcrt4.dll
rtutils.dll C:\WINDOWS\system32\rtutils.dll
samlib.dll C:\WINDOWS\system32\samlib.dll
scecli.dll C:\WINDOWS\system32\scecli.dll
secur32.dll C:\WINDOWS\system32\secur32.dll
setupapi.dll C:\WINDOWS\system32\setupapi.dll
shdocvw.dll C:\WINDOWS\system32\shdocvw.dll
shell32.dll C:\WINDOWS\system32\shell32.dll
shlwapi.dll C:\WINDOWS\system32\shlwapi.dll
shsvcs.dll C:\WINDOWS\system32\shsvcs.dll
tapi32.dll C:\WINDOWS\system32\tapi32.dll
urlmon.dll C:\WINDOWS\system32\urlmon.dll
user32.dll C:\WINDOWS\system32\user32.dll
userenv.dll C:\WINDOWS\system32\userenv.dll
usp10.dll C:\WINDOWS\system32\usp10.dll
utildll.dll C:\WINDOWS\system32\utildll.dll
uxtheme.dll C:\WINDOWS\system32\uxtheme.dll
version.dll C:\WINDOWS\system32\version.dll
w32topl.dll C:\WINDOWS\system32\w32topl.dll
wer.dll Path not Found.
winhttp.dll C:\WINDOWS\system32\winhttp.dll
wininet.dll C:\WINDOWS\system32\wininet.dll
winmm.dll C:\WINDOWS\system32\winmm.dll
winscard.dll C:\WINDOWS\system32\winscard.dll
winspool.drv C:\WINDOWS\system32\winspool.drv
winsta.dll C:\WINDOWS\system32\winsta.dll
wintrust.dll C:\WINDOWS\system32\wintrust.dll
wldap32.dll C:\WINDOWS\system32\wldap32.dll
wmi.dll C:\WINDOWS\system32\wmi.dll
ws2_32.dll C:\WINDOWS\system32\ws2_32.dll
ws2help.dll C:\WINDOWS\system32\ws2help.dll
wsock32.dll C:\WINDOWS\system32\wsock32.dll
wtsapi32.dll C:\WINDOWS\system32\wtsapi32.dll
wzcdlg.dll C:\WINDOWS\system32\wzcdlg.dll
wzcsapi.dll C:\WINDOWS\system32\wzcsapi.dll
wzcsvc.dll C:\WINDOWS\system32\wzcsvc.dll
xmllite.dll C:\WINDOWS\system32\xmllite.dll

esta en vb6 ?? me lo abrio un decompilador...no muestra nada por estar comprimido seguro..pero lo abrio..sino no lo abre.

EDITO: parece que esta en delphi la DLL..lindas cosas se ven en ella :xD

Código:

FastMM Borland Edition

2004, 2005 Pierre le Riche / Professional Software Development

SOFTWARE\Borland\Delphi\RTL

Apis usadas:

Código:

RegQueryValueExA
RegOpenKeyExA
RegCloseKey
GetKeyboardType
DestroyWindow
MessageBoxA
GetACP
Sleep
VirtualFree
VirtualAlloc
GetCurrentThreadId
VirtualQuery
GetStartupInfoA
GetCommandLineA
FreeLibrary
ExitProcess
WriteFile
UnhandledExceptionFilter
RtlUnwind
RaiseException
GetStdHandle
TlsSetValue
TlsGetValue
TlsFree
TlsAlloc
LocalFree
LocalAlloc
UnhookWindowsHookEx
SetWindowsHookExA
GetKeyState
CallNextHookEx
FreeLibrary

otra DLL ?

Código:

HRhookdll.dll

Comprimido con ASProtect v1.23 RC1 :xD

tiene el manifiesto de windows para usar los temitas :xD

usa una bocha de api's que no tengo ganas de poner..


« Última modificación: 24 Marzo 2010, 22:18 por seba123neo »	En línea

[Zero]

Moderador

Desconectado

Mensajes: 1.057

CALL DWORD PTR DS:[0]

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #11 en: 24 Marzo 2010, 22:18 »

Si alguien lo desempaca me ahorraría trabajo, jodido Asprotect :¬¬

.

Saludos


	En línea

H-Sec

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

skapunky

Electronik Engineer &
CoAdmin

Desconectado

Mensajes: 3.421

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #12 en: 24 Marzo 2010, 22:38 »

Como sabes que es el Asprotect? Había un programa que te decia si el exe estaba "empacado" y con cual, pero no me acuerdo del nombre y no lo tengo en mi repostorio de programas.


	En línea

Nuevo Blog personal sobre electrónica: aquí.

[Zero]

Moderador

Desconectado

Mensajes: 1.057

CALL DWORD PTR DS:[0]

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #13 en: 24 Marzo 2010, 22:43 »

Yo uso el RDG. Tengo el exe "desempacado", pero no logro reparar la IAT, desempacar no es lo mío :xD

.

Saludos


	En línea

H-Sec

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

seba123neo

Desconectado

Mensajes: 3.206

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #14 en: 24 Marzo 2010, 22:46 »

Cita de: skapunky en 24 Marzo 2010, 22:38

Como sabes que es el Asprotect? Había un programa que te decia si el exe estaba "empacado" y con cual, pero no me acuerdo del nombre y no lo tengo en mi repostorio de programas.

anota este...FileAlyzer...te da bastante info importante.

saludos.


	En línea

Páginas: [1] 2 3

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	[Reto] Zig Zag (OJO ANALISIS) « 1 2 3 » Programación Visual Basic	BlackZeroX (Astaroth)	38	7,234	7 Enero 2011, 16:56 por 79137913
	malware doctor Seguridad	chavier3437	8	1,850	31 Marzo 2011, 01:17 por Arcano.