elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Comradex Crypter Fud By dr.fan0
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Comradex Crypter Fud By dr.fan0  (Leído 7,031 veces)
sxock

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Comradex Crypter Fud By dr.fan0
« en: 7 Febrero 2013, 00:00 am »




Código:
File Info:
File Name: check.exe
SHA1: 3b1db3487d662bcd5e126f2d9d1a9dd254e22fa0
MD5: d3d03405483104ddbce45540dddfd520
Date and Time: 6-02-13,01:48:54
File Size: 1075488 Bytes
Detection: 0 of 35
Detections:
AVG Free Clean
ArcaVir Clean
Avast 5 Clean
AntiVir (Avira) Clean
BitDefender Clean
VirusBuster Internet Security Clean
Clam Antivirus Clean
COMODO Internet Security Clean
Dr.Web Clean
eTrust-Vet Clean
F-PROT Antivirus Clean
F-Secure Internet Security Clean
G Data Clean
IKARUS Security Clean
Kaspersky Antivirus Clean
McAfee Clean
MS Security Essentials Clean
ESET NOD32 Clean
Norman Clean
Norton Antivirus Clean
Panda Security Clean
A-Squared Clean
Quick Heal Antivirus Clean
Solo Antivirus Clean
Sophos Clean
Trend Micro Internet Security Clean
VBA32 Antivirus Clean
Vexira Antivirus Clean
Zoner AntiVirus Clean
Ad-Aware Clean
BullGuard Clean
Immunet Anti


Download :
rar pass : Comradex.Co

Modificado por el MOD: De momento elimino la url de descarga

Virustotal:
Comradex Crypter.exe: https://www.virustotal.com/file/12c6ca53f15bcee2101ac08eb250c7ec162b8308ca02c94c73737693962a8bf3/analysis/1360229646/ - 9 / 46
Stub.exe: https://www.virustotal.com/file/6b06f04435ba7d06f990408f25b14444324ea9c2aa0a455a62b5f7b082bb8c0a/analysis/1360230448/ - 4 / 46

Anubis:
Comradex Crypter.exe: http://anubis.iseclab.org/?action=result&task_id=167acd6bc185dbad441db95d776ea891b&call=first
Stub.exe http://anubis.iseclab.org/?action=result&task_id=1ec3d1117efb45e645969ec80b8df17d9

Saludos.


« Última modificación: 7 Febrero 2013, 11:32 am por r32 » En línea

skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.667


www.killtrojan.net


Ver Perfil WWW
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #1 en: 9 Febrero 2013, 23:31 pm »

Pregunta interesante...

porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar.  >:D


En línea

Killtrojan Syslog v1.44: ENTRAR
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #2 en: 9 Febrero 2013, 23:35 pm »

Pregunta interesante...

porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar.  >:D

yo ya no se ni como tienes la paciencia, ni por que te tomas la molestia... jajajaja
En línea

Back 2 business!
skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.667


www.killtrojan.net


Ver Perfil WWW
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #3 en: 9 Febrero 2013, 23:53 pm »

La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio.

Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará.

En línea

Killtrojan Syslog v1.44: ENTRAR
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #4 en: 10 Febrero 2013, 00:04 am »

La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio.

Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará.



si, ya he presenciado algun episodio sorprendente con r32.

comparto la preocupacion por el tema, me parece fatal lo que hacen algunos users aprovechando la excusa.

lo que no sé es como no os cansais del tema y empezais a denegar este tipo de enlaces por sistema  :xD

gracias por estar atento y por el aviso
En línea

Back 2 business!
r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #5 en: 10 Febrero 2013, 01:57 am »

Anubis no detectó conexiones, si el uso de la librería:
IDA:




PE Explorer:



Crea el proceso svchost:



Estoy buscando algun timer o similar, algo no cuadra, bueno si que prefiero aprender a programarme uno que usar ese.

Editado: En Indetectables no han dicho nada, incluso tienen su propio foro (comradex.co), voy a registrarme a ver que veo.

Saludos.
« Última modificación: 10 Febrero 2013, 02:00 am por r32 » En línea

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #6 en: 10 Febrero 2013, 02:08 am »

en indetectables pueden hacer el pino puente con el si quieren.
despues de todo, a veces los amiguismos son los peores errores de vulnerabilidad del mundo xD
pero tú has puesto bastantes indicios encima de la mesa como para no usarlo.

PD: por aprender yo: estais analizando un ejecutable dummy cifrado con el crypter, o directamente el stub + el crypter?
« Última modificación: 10 Febrero 2013, 02:11 am por alist3r » En línea

Back 2 business!
skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.667


www.killtrojan.net


Ver Perfil WWW
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #7 en: 10 Febrero 2013, 02:57 am »

El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro).

En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis)

MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520

MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184

Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro.


Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia:

Post original presentando el crypter

Ahora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí.
En línea

Killtrojan Syslog v1.44: ENTRAR
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #8 en: 10 Febrero 2013, 04:31 am »

El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro).

En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis)

MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520

MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184

Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro.


Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia:

Post original presentando el crypter

Ahora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí.

hipotesis: el cutre foro ha hecho cutre travesuras
En línea

Back 2 business!
r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Comradex Crypter Fud By dr.fan0
« Respuesta #9 en: 10 Febrero 2013, 11:48 am »

Que hacemos entonces, eliminamos el tema?

Esto lo saqué con BSA:
Citar
[ General information ]
   * File name: c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe

[ Changes to filesystem ]
   * Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\drwtsn32.log
   * Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp
   * Modifies file C:\Documents and Settings\r32\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat

 [ Changes to registry ]
   * Modifies value "NumberOfCrashes=00000003" in key HKEY_LOCAL_MACHINE\software\microsoft\DrWatson
          old value "NumberOfCrashes=00000002"
   * Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
          old value empty
   * Modifies value "SavedLegacySettings=46000000CC0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
          old value "SavedLegacySettings=46000000CB0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000"

[ Network services ]
   * Looks for an Internet connection.

 [ Process/window/string information ]
   * Enables process privileges.
   * Gets user name information.
   * Gets system default language ID.
   * Gets computer name.
   * Checks for debuggers.
   * Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates process "C:\WINDOWS\system32\svchost.exe,(null),(null)".
   * Injects code into process "c:\windows\system32\svchost.exe".
   * Enumerates running processes.
   * Injects code into process "c:\windows\system32\dwwin.exe".
   * Creates a mutex "SHIMLIB_LOG_MUTEX".
   * Creates a mutex "Local\_!MSFTHISTORY!_".
   * Creates a mutex "Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!".
   * Creates a mutex "Local\c:!documents and settings!r32!cookies!".
   * Creates a mutex "Local\c:!documents and settings!r32!configuración local!historial!history.ie5!".
   * Creates a mutex "RasPbFile".
   * Opens a service named "RASMAN".
   * Lists all entry names in a remote access phone book.
   * Opens a service named "Sens".
   * Creates a mutex "MSCTF.Shared.MUTEX.EBH".
   * Creates process "(null),C:\WINDOWS\system32\drwtsn32 -p 1796 -e 340 -g,(null)".
   * Injects code into process "c:\windows\system32\drwtsn32.exe".
   * Creates an event named "DbgEngEvent_00000070".
   * Injects code into process "c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe".
   * Terminates process "à?¤\dee\harskvol1\do".
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Crypter
Programación Visual Basic
CamaleonB 8 5,073 Último mensaje 15 Enero 2008, 17:50 pm
por ~~
[SRC][C++] EPI Crypter 1.0 « 1 2 »
Programación C/C++
E.P.I. 17 12,114 Último mensaje 26 Octubre 2011, 19:10 pm
por Shamaroot
crypter en vb
Análisis y Diseño de Malware
egiptoelcairo 7 7,129 Último mensaje 26 Mayo 2010, 14:22 pm
por [L]ord [R]NA
Crypter y PE
Programación C/C++
xxxhack2010 2 2,955 Último mensaje 16 Agosto 2010, 02:02 am
por Littlehorse
Crypter en vb6
Hacking
CAR3S? 7 6,501 Último mensaje 14 Febrero 2011, 17:57 pm
por Garfield07
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines