elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Dudas análisis malware (Troyano Dyre)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Dudas análisis malware (Troyano Dyre)  (Leído 2,665 veces)
orApic

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Dudas análisis malware (Troyano Dyre)
« en: 19 Mayo 2017, 17:11 pm »

Hola,
soy nuevo en el análisis de malware y acutalmente estoy analizando un malware llamado Dyre.
Por ahora lo que he llegado a analizar no es más que el loader o dropper y lo que hace es extraer un recurso de la sección de recursos que es el payload para luego ejecutarlo en un nuevo thread de "explorer.exe".
Ahora bien mi duda es la siguiente:
Cuando analizo el dump del payload no empieza por un PE sino que el "MZ" está localizado más adelante (unos 647 bytes para ser exactos).
1-¿Es esto normal? me refiero a que el MZ no esté justo al principio del recurso.
Otra duda que tengo es:
Lo que he hecho para poder analizar el payload ha sido quitar esos 647 bytes anteriores a MZ.
2- ¿He hecho bien en quitar esos bytes del principio para poder analizar el payload en IDA por ejemplo?
Al ver las equivalencias en ASCII de los primeros bytes se pueden ver funciones como GetProcAddress, LoadLibrary y VirtualAlloc.
3- ¿Se puede presuponer que el nuevo thread carga el payload como DLL basado en esos strings ASCII? Es que al no ser un PE como tal no sé muy bien como analizar esos primero bytes.

Perdonad si no me explico bien que todavía estoy empezando y es un mundo nuevo para mí :D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Análisis de Malware VB
Ingeniería Inversa
Иōҳ 7 6,498 Último mensaje 10 Mayo 2012, 20:07 pm
por MCKSys Argentina
Analisis de mi Malware
Análisis y Diseño de Malware
danny920825 2 2,642 Último mensaje 13 Octubre 2013, 22:21 pm
por danny920825
Distribuyen el troyano Dyre en correo spam de JP Morgan
Noticias
Mister12 0 1,307 Último mensaje 26 Agosto 2014, 16:32 pm
por Mister12
El troyano bancario Dyre pone a los bancos españoles en su punto de mira
Noticias
wolfbcn 0 3,300 Último mensaje 19 Julio 2015, 03:14 am
por wolfbcn
Malware Dyre continúa actualizándose
Noticias
wolfbcn 0 1,053 Último mensaje 5 Noviembre 2015, 21:40 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines