elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
28 Mayo 2012, 01:16  


Tema destacado: Personaliza-Escoge el diseño del foro que más te guste.

+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: Shaddy, karmany)
| | |-+  Spreader Facebook.		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Spreader Facebook.  (Leído 2,437 veces)
Elemental Code


Desconectado Desconectado

Mensajes: 499


Im beyond the system


Ver Perfil
Spreader Facebook.
« en: 20 Diciembre 2010, 23:49 »
Hola.
Estaba en faisbuc como siempre al re pedo cuando me mandan esto:

"Foto  http://www.facebook.com/l.php?u=www.acoplasticos.org/crm"


entro en acroplasticos y me encuentro con un site igualito a Facebook pero con un boton que dice que para ver la foto necesito bajarla.
OBVIAMENTE baja un archivo EXE que NO abri.  :P

lo que me sorprendio es que funcionase por FB.

http://acoplasticos.org/crm/ es el sitio y me sorprendio que la home te direcciona a un supuesto sitio de nosequepolimero colombiano :S

Analizen si quieren sino ... no :P

EDITO: Lo meti en una sandbox:
http://camas.comodo.com/cgi-bin/submit?file=0c0be56c272d47e79daa8ae55bd39ed35589549a7b55176f5b764d359ae33edf

Se hace pasar por drives de nvidia
« Última modificación: 21 Diciembre 2010, 00:18 por Elemental Code » En línea
MCKSys Argentina


Desconectado Desconectado

Mensajes: 1.222


Diviérte crackeando, que para eso estamos!


Ver Perfil
Re: Spreader Facebook.
« Respuesta #1 en: 21 Diciembre 2010, 02:26 »
Lo mire rapido y basicamente es algo asi:

1) Tiene un funcion para cragar las APIS.
2) Tiene otra funcion para descifrar informacion.
3) Una vez que carga las APIs, ejecuta "NET STOP" + 0x09 + 0x09
4) Usa CreateProcess para ejecutarse nuevamente, pero suspendido
5) Parchea el EXE ejecutado con WriteProcessMemory.
6) Resume la ejecucion con ResumeThread.
7) En medio hay un SetThreadContext que no mire mucho.

La idea seria reconstruir el EXE en disco, fijandose que parchea con WriteProcessMemory y despues pasarle IDA...

Eso es todo lo que pude ver por ahora... :)

Saludos!
En línea
---------------------
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Kryptonite Spreader v1.0 + Source
Análisis y Diseño de Malware 		shark0 12 4,289 Último mensaje 24 Agosto 2009, 17:43
por .;.
Simple 'WLM' Spreader
Programación Visual Basic 		shark0 2 980 Último mensaje 18 Noviembre 2009, 18:05
por shark0
Tiny Window Spreader + Source
Análisis y Diseño de Malware 		shark0 3 2,199 Último mensaje 23 Noviembre 2009, 01:34
por Jaixon Jax
Kryptonite Spreader Version InfrAngeluX
Análisis y Diseño de Malware 		BlackZeroX (Astaroth) 7 3,051 Último mensaje 11 Enero 2010, 02:03
por Harkox
[Spreader] Infectar ejecutables VB.NET « 1 2 »
.NET 		kub0x 17 803 Último mensaje 2 Mayo 2012, 17:14
por Maurice_Lupin
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines