Título: Comradex Crypter Fud By dr.fan0 Publicado por: sxock en 7 Febrero 2013, 00:00 am (http://www.resimagaci.com/img/9fn2nnn.png)
Código: File Info: Download : rar pass : Comradex.Co Modificado por el MOD: De momento elimino la url de descarga Virustotal: Comradex Crypter.exe: https://www.virustotal.com/file/12c6ca53f15bcee2101ac08eb250c7ec162b8308ca02c94c73737693962a8bf3/analysis/1360229646/ - 9 / 46 Stub.exe: https://www.virustotal.com/file/6b06f04435ba7d06f990408f25b14444324ea9c2aa0a455a62b5f7b082bb8c0a/analysis/1360230448/ - 4 / 46 Anubis: Comradex Crypter.exe: http://anubis.iseclab.org/?action=result&task_id=167acd6bc185dbad441db95d776ea891b&call=first Stub.exe http://anubis.iseclab.org/?action=result&task_id=1ec3d1117efb45e645969ec80b8df17d9 Saludos. Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: skapunky en 9 Febrero 2013, 23:31 pm Pregunta interesante...
porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar. >:D Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: alister en 9 Febrero 2013, 23:35 pm Pregunta interesante... porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar. >:D yo ya no se ni como tienes la paciencia, ni por que te tomas la molestia... jajajaja Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: skapunky en 9 Febrero 2013, 23:53 pm La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio.
Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará. Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: alister en 10 Febrero 2013, 00:04 am La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio. Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará. si, ya he presenciado algun episodio sorprendente con r32. comparto la preocupacion por el tema, me parece fatal lo que hacen algunos users aprovechando la excusa. lo que no sé es como no os cansais del tema y empezais a denegar este tipo de enlaces por sistema :xD gracias por estar atento y por el aviso Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: r32 en 10 Febrero 2013, 01:57 am Anubis no detectó conexiones, si el uso de la librería:
IDA: (http://i398.photobucket.com/albums/pp69/minimal34/elhacker/Comradex5_zps2df775e8.png) (http://i398.photobucket.com/albums/pp69/minimal34/elhacker/Comradex6_zps978ba69a.png) PE Explorer: (http://i398.photobucket.com/albums/pp69/minimal34/elhacker/comradex_zps0a7c402f.png) Crea el proceso svchost: (http://i398.photobucket.com/albums/pp69/minimal34/elhacker/Comradex7_zps1a8a03e3.png) Estoy buscando algun timer o similar, algo no cuadra, bueno si que prefiero aprender a programarme uno que usar ese. Editado: En Indetectables no han dicho nada, incluso tienen su propio foro (comradex.co), voy a registrarme a ver que veo. Saludos. Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: alister en 10 Febrero 2013, 02:08 am en indetectables pueden hacer el pino puente con el si quieren.
despues de todo, a veces los amiguismos son los peores errores de vulnerabilidad del mundo xD pero tú has puesto bastantes indicios encima de la mesa como para no usarlo. PD: por aprender yo: estais analizando un ejecutable dummy cifrado con el crypter, o directamente el stub + el crypter? Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: skapunky en 10 Febrero 2013, 02:57 am El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro).
En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis) MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520 MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184 Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro. Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia: Post original presentando el crypter (http://level-23.biz/forum/showthread.php?13285-Comradex-Crypter-bY-dR-fAn0-0-35) Ahora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí. Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: alister en 10 Febrero 2013, 04:31 am El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro). En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis) MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520 MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184 Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro. Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia: Post original presentando el crypter (http://level-23.biz/forum/showthread.php?13285-Comradex-Crypter-bY-dR-fAn0-0-35) Ahora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí. hipotesis: el cutre foro ha hecho cutre travesuras Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: r32 en 10 Febrero 2013, 11:48 am Que hacemos entonces, eliminamos el tema?
Esto lo saqué con BSA: Citar [ General information ] * File name: c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe [ Changes to filesystem ] * Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\drwtsn32.log * Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp * Modifies file C:\Documents and Settings\r32\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat [ Changes to registry ] * Modifies value "NumberOfCrashes=00000003" in key HKEY_LOCAL_MACHINE\software\microsoft\DrWatson old value "NumberOfCrashes=00000002" * Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket old value empty * Modifies value "SavedLegacySettings=46000000CC0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections old value "SavedLegacySettings=46000000CB0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000" [ Network services ] * Looks for an Internet connection. [ Process/window/string information ] * Enables process privileges. * Gets user name information. * Gets system default language ID. * Gets computer name. * Checks for debuggers. * Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003". * Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003". * Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003". * Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003". * Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003". * Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003". * Creates process "C:\WINDOWS\system32\svchost.exe,(null),(null)". * Injects code into process "c:\windows\system32\svchost.exe". * Enumerates running processes. * Injects code into process "c:\windows\system32\dwwin.exe". * Creates a mutex "SHIMLIB_LOG_MUTEX". * Creates a mutex "Local\_!MSFTHISTORY!_". * Creates a mutex "Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!". * Creates a mutex "Local\c:!documents and settings!r32!cookies!". * Creates a mutex "Local\c:!documents and settings!r32!configuración local!historial!history.ie5!". * Creates a mutex "RasPbFile". * Opens a service named "RASMAN". * Lists all entry names in a remote access phone book. * Opens a service named "Sens". * Creates a mutex "MSCTF.Shared.MUTEX.EBH". * Creates process "(null),C:\WINDOWS\system32\drwtsn32 -p 1796 -e 340 -g,(null)". * Injects code into process "c:\windows\system32\drwtsn32.exe". * Creates an event named "DbgEngEvent_00000070". * Injects code into process "c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe". * Terminates process "à?¤\dee\harskvol1\do". Título: Re: Comradex Crypter Fud By dr.fan0 Publicado por: alister en 10 Febrero 2013, 14:35 pm menuda lista!
es un NO enorme. mandad eso a cuenca! |