elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: [Aporte] Mejores practicas en Java


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  AntiMalware Doctor -> Vacuna y análisis [RETO]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: AntiMalware Doctor -> Vacuna y análisis [RETO]  (Leído 17,708 veces)
DarkItachi


Desconectado Desconectado

Mensajes: 516


Itachi Uchiha


Ver Perfil
AntiMalware Doctor -> Vacuna y análisis [RETO]
« en: 24 Marzo 2010, 20:21 »

Buenas, ayer me infecté con este virus y no se cómo, me destrozó el arranque de xp así que voy a proponeros un reto, crear un análisis y vacuna de este virus, que ha mutado, la información de internet no es del todo cierta ya que han cambiado nombre de procesos y tal, este reto va especialmente dedicado a Novlucker, viejo amigo que creó por una solicitud mía la vacuna del sasan.a, así que Novlucker y demás personas, tenéis un nuevo reto. Analizarlo y crear una vacuna, da igual el lenguaje. Es una forma de fomentar vuestros conocimientos. Mandadme mp y os mandaré el virus travieso comprimido en winrar con contraseña, anda que no costó reternelo xD. Buena suerte a todos :D.

Personas que aceptaron el reto

Novlucker - ANÁLISIS VACUNA
skapunky - ANÁLISIS
Hacker_Zero - FALTA VACUNA Y ANÁLISIS
seba123neo - ANÁLISIS
secMAM - FALTA VACUNA Y ANÁLISIS
« Última modificación: 26 Marzo 2010, 11:24 por DarkItachi » En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.
skapunky
Electronik Engineer &
CoAdmin
***
Desconectado Desconectado

Mensajes: 3.669


www.killtrojan.net


Ver Perfil WWW
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #1 en: 24 Marzo 2010, 20:39 »

Anda..pasame por privado el exe  >:D. Haber si se deja destripar bien.
En línea

Killtrojan Syslog v1.44: ENTRAR
DarkItachi


Desconectado Desconectado

Mensajes: 516


Itachi Uchiha


Ver Perfil
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #2 en: 24 Marzo 2010, 20:43 »

Anda..pasame por privado el exe  >:D. Haber si se deja destripar bien.

Ya te lo pasé, mucha suerte :D
En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.
Novlucker
Ninja y
Moderador Global
***
Desconectado Desconectado

Mensajes: 10.693

Yo que tu lo pienso dos veces


Ver Perfil
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #3 en: 24 Marzo 2010, 20:45 »

Nooooo!!
Llego a casa dentro de 5 hrs más o menos, y destripar este Rogue va a ser MUY fácil, no se lo pases a skapunky :-(

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.081


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #4 en: 24 Marzo 2010, 20:52 »

Mándamelo  :P.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
DarkItachi


Desconectado Desconectado

Mensajes: 516


Itachi Uchiha


Ver Perfil
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #5 en: 24 Marzo 2010, 20:57 »

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestiasç

EDITO:

Skaupunky a mi se me descomprime bien :s Y lo he probado en otro ordenador :S
« Última modificación: 24 Marzo 2010, 21:06 por DarkItachi » En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.
seba123neo


Desconectado Desconectado

Mensajes: 3.620


"No quiero creer, quiero saber" - Carl Sagan


Ver Perfil WWW
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #6 en: 24 Marzo 2010, 21:00 »

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso  :xD
En línea

La característica extraordinaria de las leyes de la física es que se aplican en todos lados, sea que tú elijas o no creer en ellas. Lo bueno de las ciencias es que siempre tienen la verdad, quieras creerla o no.

Neil deGrasse Tyson
DarkItachi


Desconectado Desconectado

Mensajes: 516


Itachi Uchiha


Ver Perfil
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #7 en: 24 Marzo 2010, 21:06 »

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso  :xD

Te mando el virus? Y así de paso me dices si se te descomprime bien?
En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.
seba123neo


Desconectado Desconectado

Mensajes: 3.620


"No quiero creer, quiero saber" - Carl Sagan


Ver Perfil WWW
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #8 en: 24 Marzo 2010, 21:11 »

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso  :xD

Te mando el virus? Y así de paso me dices si se te descomprime bien?

dale (no es un chat ya se)
En línea

La característica extraordinaria de las leyes de la física es que se aplican en todos lados, sea que tú elijas o no creer en ellas. Lo bueno de las ciencias es que siempre tienen la verdad, quieras creerla o no.

Neil deGrasse Tyson
skapunky
Electronik Engineer &
CoAdmin
***
Desconectado Desconectado

Mensajes: 3.669


www.killtrojan.net


Ver Perfil WWW
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #9 en: 24 Marzo 2010, 21:15 »

Informe Skapunky

Aquí iré poniendo todo lo que vaya encontrando:

Ejecutable:

El olly avisa que el archivo está comprimido, cifrado...vaya que con olly sale jodido. (Sale gran cantidad de memória vacia por la compresion del ejecutable).

1. Se conecta a la IP 91.212.226.53 por el puerto 80. (TCPview)

2. Crea el archivo enemies.names.txt y hookdll.dll (Al ejecutarlo)

3. Crea varias claves en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Antimalware Doctor Inc\Antimalware Doctor\ con varios valores.

También en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\ Con algúnas subclaves.

(Las claves se pueden comprovar mediante regshot o similares en máquina virtual)


Hookdll.dll

- Sobre la libreria Hookdll.dll el olly tiene problemas al leerla, el entry point está modificado o quizá es porque es dinámica, ya pensaré algo.

- La librería me temo que tiene la función de hacer que el ejecutable tenga característica de rootkit y se inyecte en explorer.exe

Continuare...

« Última modificación: 24 Marzo 2010, 21:25 por skapunky » En línea

Killtrojan Syslog v1.44: ENTRAR
Páginas: [1] 2 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Reto] Zig Zag (OJO ANALISIS) « 1 2 3 4 »
Programación Visual Basic
BlackZeroX (Astaroth) 38 15,343 Último mensaje 7 Enero 2011, 16:56
por 79137913
malware doctor
Seguridad
chavier3437 8 3,101 Último mensaje 31 Marzo 2011, 01:17
por Arcano.
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines