elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


  Mostrar Mensajes
Páginas: [1]
1  Seguridad Informática / Análisis y Diseño de Malware / Re: Pregunta trozo código ensamblador de malware en: 19 Junio 2017, 17:44 pm
Claro. Es un bucle que no hace nada, pero que llama a una API. Puede que sea para confundir a los analizadores automáticos (como haz dicho, este código proviene de un malware).

Llamar a esa API más de una vez, en un bucle y sin usar el resultado; equivale a no hacer nada excepto perder ciclos de cpu.

Saludos!

mmm Puede ser sí. Gracias!
2  Seguridad Informática / Análisis y Diseño de Malware / Re: Pregunta trozo código ensamblador de malware en: 19 Junio 2017, 17:32 pm
Si es así puede que sea ofuscación?

Saludos!
Podrías explicarte? No entiendo porqué sería ofuscación. Me refiero aquí sólo está iterando 68 veces con esa llamada de GetModuleHandle pero luego no hace nada con el resultado entiendo. O me estoy equivocando  :huh:
3  Seguridad Informática / Análisis y Diseño de Malware / Re: Pregunta trozo código ensamblador de malware en: 19 Junio 2017, 17:25 pm
Justo después del jb hay un
Código:
mov     eax, edi
Por eso no sé muy bien para qué lo hace  :-\
4  Seguridad Informática / Análisis y Diseño de Malware / Pregunta trozo código ensamblador de malware en: 19 Junio 2017, 17:04 pm
Buenas,
 estoy analizando la función que instala un inline hook y me encontré con este trozo de código:

Código:
loc_10004599:           ; lpModuleName
push    0
call    ebx ; GetModuleHandleW
inc     esi
cmp     esi, 44h
jb      short loc_10004599

No parece hacer nada con el resultado por que hace un mov con destino eax.
¿Alguna idea de porqué hace esto?
5  Seguridad Informática / Análisis y Diseño de Malware / Dudas análisis malware (Troyano Dyre) en: 19 Mayo 2017, 17:11 pm
Hola,
soy nuevo en el análisis de malware y acutalmente estoy analizando un malware llamado Dyre.
Por ahora lo que he llegado a analizar no es más que el loader o dropper y lo que hace es extraer un recurso de la sección de recursos que es el payload para luego ejecutarlo en un nuevo thread de "explorer.exe".
Ahora bien mi duda es la siguiente:
Cuando analizo el dump del payload no empieza por un PE sino que el "MZ" está localizado más adelante (unos 647 bytes para ser exactos).
1-¿Es esto normal? me refiero a que el MZ no esté justo al principio del recurso.
Otra duda que tengo es:
Lo que he hecho para poder analizar el payload ha sido quitar esos 647 bytes anteriores a MZ.
2- ¿He hecho bien en quitar esos bytes del principio para poder analizar el payload en IDA por ejemplo?
Al ver las equivalencias en ASCII de los primeros bytes se pueden ver funciones como GetProcAddress, LoadLibrary y VirtualAlloc.
3- ¿Se puede presuponer que el nuevo thread carga el payload como DLL basado en esos strings ASCII? Es que al no ser un PE como tal no sé muy bien como analizar esos primero bytes.

Perdonad si no me explico bien que todavía estoy empezando y es un mundo nuevo para mí :D
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines