It's danger!

Aún no lo toco pero me he estado informando, esta en ASM y C++,y una cosa que aún no averiguo es la velocidad de infección, porque una cosa es un virus que infecta 10 archivos por día (por decir algo), y otra es un virus que me destroza todo exe en minutos o segundos, va a haber que tener cuidado con las tools que usamos en el análisis dinámico , aunque creo que en este caso se va a centrar más en el estático

Saludos

Buuuu! ya lo tengo que dejar porque me tengo que ir, lo he estado viendo un rato y esta muy entretenido! sobre todo porque había googleado para ver como se comportaba, y resulto ser que tiene un comportamiento un tanto distinto al esperado , además de que no me quiere dar toda la información, como por ejemplo lo que se refiere a los distintos medios de reproducción ... el desgraciado no se reproduce

Saludos

Bien La iniciativa se extiende, estaría chulo hacer un post que recoja todos estos retos ^^

Cuidado como tienen configurado el vmware y el SO que si el gusano se propaga mediante red local podrían darse un buen susto (mas que susto catástrofe).

No he tenído tiempo de analizar esta muestra por falta de tiempo pero me la guardo para cuando tenga que si es polimórfico será interesante. Haber si algún dia un user sube una muestra de uno Metamorfico 


"Metamorfismo: Es parecido al polimorfismo pero en este caso el virus es capaz no solo de cifrar su propio código sino de alterarlo desordenándolo o incluso añadiendo secuencias de código innecesario. El virus posteriormente es capaz de recomponer su código y recompilarlo y cabe señalar que será diferente al original."

Bueno, por lo que veo entonces lo hacemos colaborativo no?

Eres el que lo lleva mejor, así que espero que lleves en paralelo las notas y capturas de análisis en IDA y demás verdad?

Saludos

Hay alguna manera de conectarlo por red teniendo una red local sin que vmware tengo acceso a la red local sin deshabilitarla? Gracias.

Bueno, desempaqué la dll con PeExploer (el OllyDump no funciona con dll   ), y me sorprendió ésto:


Algunos antivirus están dormidos, NOD32 y Avast, entre otros, no detectan el archivo, y otros como Panda no consiguen catalogar la infección. Parece que ni se molestaron en desempacar el ejecutable y simplemente añadieron una firma en el .tmp  .

Saludos

PD: La dll está compilada con el Builder C++ (eso explica en buena medida su peso), y por las API's que importa (vaya tocho), se puede intuír que tipos de propagación utiliza. Apenas debugeé aún la DLL, pero se me ocurre que ésta buena dll podría ser aprovechada por cualquier otro malware como método de infección, solamente habría que cambiar el código del dropper  .

Bueno, dejo aquí lo que ha sido mi análisis del virus, no he hecho más que lo estrictamente necesario para realizar la vacuna, y puesto que ya creo que tengo un método para eliminar la infección dejo aquí mis progresos para quien le pueda servir. En el fichero zip se encuentran todas las muestras empacadas y desempacadas del dropper y su dll, así como un txt con información general del dropper y el archivo idb que contiene el análisis en IDA Pro.


Luego de terminar la vacuna haré una análisis más extenso.

Saludos