Introducción

Primero decir, que iba a poner este mensaje en Seguridad, aunque luego he recordado que "Análisis y diseño de Malware" contiene la palabra análisis, y aunque poca gente analice todavia quedará gente por aquí interesada.

Muchas veces, he encontrado virus que contienen sus strings cifradas mediante algún método y por curioso que parece podría decir que el 70% utiliza variantes del método Cesar.

Método César

Este metodo de cifrado se remonta a los tiempos de julio cesar (mirar wikipedia para ver el rollo completo) donde en sus escritos tenia una forma bien curiosa para la época de cifrarlos. Esta técnica se conoce hoy dia como Cifrado César, y este consiste en sumar 3 posiciónes exactas en el abecedario cambiando las letras, asi por ejemplo:

a b c d e f g h i ........

original --> a         cifrada ---> d

Aunque bueno, en la actualidad como decía todo esto a evolucionado y ya no solo se utilizan tres desplazamientos sinó los que el usuario quiere además tanto a la derecha como a la izquierda.

Cifrado de strings en virus.

Muchos de los virus que me encuentro como decía, llevan sus strings cifradas para ocultaras de la vista de los usuarios que analícen el gusano o de los antivirus. Para ello siempre se pierde bastante tiempo haciendo el análisis ya que en total hay para desplazar 27 posiciónes.

Aquí un ejemplo de un codigo cifrado sacado de un virus analizado mediante el ollydebugg:


Comprobando que fuera un caso genérico de cifrado César a mano, perderiamos bastante rato, ya que aparte de que nos podemos liar fácilemnte, hay bastantes casos para comprovar.

En este caso se descubrio, que la cifrado es una generalización de César que en vez de 3 posiciónes simplemente salta una y que luego revierte el resultado. Así que la cadena descifrada  y revertida es la siguiente


Automatizando

Vistos ya la explicación de este típo de cifrado sencillo pero eficaç,y con la gran cantidad de cadenas cifradas con estos métodos que encuentro decidí crearme un programa para desencriptarlas automáticamente y la verdad que se ahórra mucho tiempo y no hay posibilidad de fallo.

Aquí lo dejaré en descarga para la gente que analíza las cadenas de malware, el programa también se le pueden dar otros usos, incluso también aparte de descifrar puedes cifrar.

Decoded Cesar Strings.

Descargar ( Incluye código fuente)

Buenas dos cosillas.

1. No puse el codigo porque no sabia seguro que si al no ser un troyano o virus se deberia poner...De todas formas el codigo es muy simple si quieren lo pongo.

2. Habia pensado mejorarlo, de hecho mi idea es muy semejante a una idea que me ha coentado Novlucker por MP y trata de que el programa busque cadenas por si solo mediante un loop en todas las posibles direcciónes y posibles posiciónes. Para ello deberia hacerse una base de datos, con todas las cadénas más comunes que utiliza en general toda clase de malware.

La base de datos se podría hacer en un archivo .dat, por ejemplo porque así además cada usuario puede editarlo con el bloc de notas y añadir si cree que hacen falta más o se le ocurren mas. A la que coincida una cadena, es la que saldría en el label como cadena descifrada.

Te refieres a algo similar a la opción -b de strings de sysinternals? NUNCA en mi vida había visto que traía esa opción XD
Igual me gustaría ver que idea tienes para implementar eso

@Novlucker:
El algoritmo al que me refiero seria algo como esto:

Private Sub Form_Load()
    Dim c       As Variant
 
    For Each c In ReadStringsExe("C:\WINDOWS\SYSTEM32\CALC.EXE", 10, True)
        Debug.Print c
    Next c
End Sub
 
Public Function ReadStringsExe(ByVal sPath As String, Optional ByVal lMinSize As Long = 3, Optional ByVal bDoEvents As Boolean) As Collection
    Dim bvData()        As Byte
    Dim i               As Long
    Dim sTmp            As String
 
    Set ReadStringsExe = New Collection
 
    Open sPath For Binary As #1
        ReDim bvData(LOF(1) - 1)
        Get #1, , bvData
    Close #1
 
    For i = LBound(bvData) To UBound(bvData)
        If (bvData(i) = 10) Or (bvData(i) = 13) Or (bvData(i) > 31 And bvData(i) < 127) Then
            sTmp = sTmp & Chr$(bvData(i))
        Else
            If Len(sTmp) > lMinSize Then ReadStringsExe.Add sTmp
            sTmp = ""
        End If
        If bDoEvents Then DoEvents
    Next i
End Function

No funciona con UNICODE!

Mmmmm si, podría ser una posibilidad, de hecho es lo mismo que queria hacer yo, pero sin entrar en lo que es el ejecutable en cuestión, para ello requiero del ollydbg para sacar las cadenas...

Bueno...en cuanto desventajas veo las mismas que mi idea, lo único que de esta manera que proponeis el mismo programa abre los ejecutables y no se requiere de un debuger.