Icon changer

Foro de elhacker.net

Seguridad Informática

Análisis y Diseño de Malware (Moderador: fary)

Icon changer

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1] 2 3

Autor

Tema: Icon changer (Leído 13,896 veces)

sadfud

Desconectado

Mensajes: 25

Icon changer

« en: 12 Marzo 2015, 18:04 pm »

Hola, os dejo este icon changer que hice hace un par de meses

Filename: IconChanger 1.00.exe
Type: File
Filesize: 794624 bytes
Date: 10/03/2015 - 22:23 GMT+2
MD5: 6476a723503ae363393c7831306fae82
SHA1: 71bad36f3552395dab9b1792b21e3abc26227944
Status: Infected
Result: 11/35

AVG Free - Trojan horse Generic_vb.HJV
Avast - Win32:Malware-gen
AntiVir (Avira) - OK
BitDefender - Gen:Variant.Sirefef.942
Clam Antivirus - OK
COMODO Internet Security - OK
Dr.Web - OK
eTrust-Vet - OK
F-PROT Antivirus - OK
F-Secure Internet Security - Gen:Variant.Sirefef.942
G Data - Gen:Variant.Sirefef.942
IKARUS Security - OK
Kaspersky Antivirus - Trojan.Win32.Inject.uazj
McAfee - OK
MS Security Essentials - OK
ESET NOD32 - Trojan.Win32/Injector.BSWP
Norman - Gen:Variant.Sirefef.942
Norton Antivirus - OK
Panda Security - OK
A-Squared - OK
Quick Heal Antivirus - OK
Solo Antivirus - OK
Sophos - OK
Trend Micro Internet Security - OK
VBA32 Antivirus - infected TScope.Trojan.VB
Zoner AntiVirus - OK
Ad-Aware - Gen:Variant.Sirefef.942
BullGuard - Gen:Variant.Kazy.533354
FortiClient - OK
K7 Ultimate - OK
NANO Antivirus - OK
Panda CommandLine - OK
SUPERAntiSpyware - OK
Twister Antivirus - OK
VIPRE - OK

Scan Result: http://v2.scan.majyx.net/?page=results&sid=472182
Scan by MaJyx Scanner

Código

http://www71.zippyshare.com/v/zdovYjBT/file.html

Mod: Reportes de posible malware, usar con precaución.

EDIT: Puedes usar una herramienta gratuita y libre de virus, ResourceHacker:
http://www.angusj.com/resourcehacker/


« Última modificación: 14 Marzo 2015, 00:20 am por .:UND3R:. »	En línea

Shell Root

Moderador Global

Desconectado

Mensajes: 3.723

Re: Icon changer

« Respuesta #1 en: 12 Marzo 2015, 20:26 pm »

INFECTED!
ALYac Gen:Variant.Sirefef.942 20150312 AVG Generic_vb.HJV 20150312 Ad-Aware Gen:Variant.Sirefef.942 20150312 Avast Win32:Malware-gen 20150312 BitDefender Gen:Variant.Sirefef.942 20150312 ESET-NOD32 a variant of Win32/Injector.BSWP 20150312 Emsisoft Gen:Variant.Sirefef.942 (B) 20150312 F-Secure Gen:Variant.Sirefef.942 20150312 GData Gen:Variant.Sirefef.942 20150312 Jiangmin Trojan/Inject.bknq 20150311 Kaspersky Trojan.Win32.Inject.uazj 20150312 MicroWorld-eScan Gen:Variant.Sirefef.942 20150312 VBA32 TScope.Trojan.VB 20150312


	En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

sadfud

Desconectado

Mensajes: 25

Re: Icon changer

« Respuesta #2 en: 13 Marzo 2015, 00:38 am »

no me digas? deberias aprender la diferencia entre infectado y detectado. Una cosa es que detecte firmas cosa que se explica tan simple como que esa version esta pasada por un crypter y perdi el binario original y pir tanto esa tiene las firmas del crypter, cosa muy diferente a que este infectado que no lo esta, pero claro molestarse en mirar eso es demasiado trabajo, es mucho mas facil comentar esa tonteria cuando ya adjunte yo un scan donde salen las firmas.. en fin... parguela


	En línea

engel lex

Moderador Global

Desconectado

Mensajes: 15.514

Re: Icon changer

« Respuesta #3 en: 13 Marzo 2015, 00:43 am »

Cita de: sadfud en 13 Marzo 2015, 00:38 am

explícate en detalle la diferencia entre infectado y detectado según muestra el análisis de Shell Root? por otro lado... para qué un icon changer necesita crypter? por otro lado, como sabemos que no está infectado si no hay codigo fuente?


« Última modificación: 13 Marzo 2015, 00:46 am por engel lex »	En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

xxxposeidonxxx

Desconectado

Mensajes: 83

Re: Icon changer

« Respuesta #4 en: 13 Marzo 2015, 00:49 am »

@SeadFud Tienes que tener un poco mas de Ojo al decir según que cosas, no todo el mundo sabe de malware... Podrías haber explicado tu mismo a el para que lo entendiera.

Y como dice @angel Lex, para que Coj*nes encryptas una herramienta? Porque lo único que haces es levantar sospechas... Porque herramientas de estas, pegas una patada a una carpeta y salen 10.
Saludos


	En línea

.:UND3R:.

Moderador Global

Desconectado

Mensajes: 3.118

Ingeniería inversa / MASM

Re: Icon changer

« Respuesta #5 en: 13 Marzo 2015, 07:11 am »

Cómo un programa que solo edita la sección Resource (.RES) de un ejecutable puede ser considerado un malware? y para que cifrar una aplicación que no debe por qué ser cifrada? Y la otra pregunta del millón:

¿Por qué siempre creen que le pueden mentir a un pirata sobre el mar? Hay tantos foros de juegos, para compartir archivos e intentan aquí. ¿Cual será el nuevo desafío? Enviarle un mail a la brigada de delitos informáticos un supuesto programa que cambie iconos? O mejor aun vender reloj pintados de dorado a un relojero?

:laugh:


	En línea

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

sadfud

Desconectado

Mensajes: 25

Re: Icon changer

« Respuesta #6 en: 13 Marzo 2015, 08:17 am »

Os lo explico de nuevo que parece que no lo habeis entendido.
al hacerlo tenia dos firmas y queria que no tuviera ninguna (siempre es mas bonito un verde) asi que le pase un crypter y obviamente el crypter despues de mes y pico que he tardado en publicarlo pues se ha quemado un poco... que es lo que pasa ? que al guardar el fud reemplace el original y por eso he subido el archivo con firmas. Creo que ahora es facil entender la diferencia entre detectado e infectado, para saber si esta onfectado es tan facil como que el moderador venga y lo analice, como bien decis a quien se le ocurriria venir a un sitio donde todos sabemos algo aunque sea poco de esto... ni que esto fuese taringa.. en fin, no, no soy idiota. Ya explique porque tien e firmas al contrario de ustedes que no sois capaces de justificar que este "infectado" . sin mas que decir que venga el moderador lo analice y os chape la boca. no mancheis mi nick y mas sin motivos. se que la tool no es nada nuevo pero se ve que en este foro todo son expertos que no agradecen.


	En línea

engel lex

Moderador Global

Desconectado

Mensajes: 15.514

Re: Icon changer

« Respuesta #7 en: 13 Marzo 2015, 09:35 am »

el problema es que con frecuencia no se por qué (supongo que reto) llega gente publicando herramientas, extensiones, u otros, maliciosos o infectados...

tu herramienta es algo que no debería levantar alertas, ni debería tener la necesidad de haberle pasado un crypter

ahora, traes una herramienta que no es tan compleja, sin codigo fuente y con firma de virus... no es convincente y como es un caso tan tipico no se van a dar la tarea de hacerle forencia...


	En línea

sadfud

Desconectado

Mensajes: 25

Re: Icon changer

« Respuesta #8 en: 13 Marzo 2015, 19:25 pm »

creo que lo deje claro arriba, si no os convence podeis analizarlo, podeis seguir echando bilis o podeis cerrar el post, pero mejor no deis mas por culo, y sin bases fundamentadas mas que "es raro" me podeis banear, no mereceis mi respeto despues de tanta tonteria


	En línea

79137913

Desconectado

Mensajes: 1.169

4 Esquinas

Re: Icon changer

« Respuesta #9 en: 13 Marzo 2015, 19:48 pm »

HOLA!!!

Estuve viendo el ejecutable, lo corri en una sandbox y el mismo no dumpea ningun archivo y es mas, da risa, esta tan mal hecho que ni siquiera lo empaqueto con sus ocx ;-)

!

Luego mire el binario y veo que hay algo cifrado dentro y que el programa usa las siguientes funciones:

Código:

__vbaStrI2    _CIcos    _adj_fptan    __vbaVarMove    __vbaFreeVar    __vbaAryMove    __vbaLenBstr    __vbaStrVarMove   __vbaEnd    __vbaFreeVarList    _adj_fdiv_m64   _adj_fprem1   __vbaStrCat   __vbaSetSystemError   __vbaHresultCheckObj    _adj_fdiv_m32   __vbaAryVar   __vbaAryDestruct    __vbaOnError    __vbaObjSet   _adj_fdiv_m16i    __vbaObjSetAddref   _adj_fdivr_m16i   __vbaVargVar    _CIsin    __vbaErase    __vbaChkstk   __vbaFileClose    EVENT_SINK_AddRef   __vbaGenerateBoundsError    __vbaGet3   __vbaStrCmp   __vbaObjVar   DllFunctionCall   _adj_fpatan   EVENT_SINK_Release    _CIsqrt   EVENT_SINK_QueryInterface   __vbaExceptHandler    _adj_fprem    _adj_fdivr_m64    __vbaFPException    __vbaUbound   __vbaStrVarVal    _CIlog    __vbaErrorOverflow    __vbaFileOpen   __vbaVar2Vec    __vbaNew2   _adj_fdiv_m32i    _adj_fdivr_m32i   __vbaStrCopy    __vbaFreeStrList    __vbaDerefAry1    _adj_fdivr_m32    __vbaR8Var    _adj_fdiv_r   __vbaVarSetVar    __vbaLateMemCall    __vbaAryLock    __vbaStrToAnsi    __vbaVarDup   __vbaFpI4   __vbaVarCopy    __vbaVarLateMemCallLd   __vbaVarSetObjAddref    __vbaLateMemCallLd    _CIatan   __vbaAryCopy    __vbaStrMove    _allmul   _CItan    __vbaUI1Var   __vbaAryUnlock    _CIexp    __vbaMidStmtBstr    __vbaFreeObj    __vbaFreeStr __vbaVargVar    __vbaVarSetObjAddref    __vbaLateMemCall __vbaMidStmtBstr    __vbaLenBstr __vbaStrToAnsi  __vbaUI1Var __vbaGenerateBoundsError VBA6.DLL    __vbaObjSetAddref   __vbaFreeStr    __vbaStrCmp __vbaFreeObj    __vbaFreeStrList    __vbaHresultCheckObj     __vbaStrCat __vbaStrMove    __vbaNew2   __vbaObjSet   CallWindowProcA __vbaAryDestruct    __vbaStrVarVal  __vbaVar2Vec    __vbaAryMove    __vbaAryUnlock     __vbaAryLock    __vbaDerefAry1  __vbaFreeVarList    __vbaVarDup __vbaAryVar __vbaAryCopy        __vbaFreeVar    __vbaStrVarMove 4   S c r i p t i n g . F i l e S y s t e m O b j e c t     G e t F i l e   S i z e     __vbaLateMemCallLd  __vbaR8Var  __vbaVarLateMemCallLd   
   f t \ S e       __vbaObjVar __vbaVarSetVar  __vbaVarCopy    __vbaFileClose  __vbaGet3   __vbaFpI4    __vbaFileOpen        __vbaVarMove    __vbaEnd    __vbaStrI2      __vbaStrCopy    __vbaErrorOverflow  __vbaErase  __vbaUbound __vbaOnError    __vbaSetSystemError

Ademas como si fuera poco (si funcionara bien):
Dumpea en :

Código:

 \WINDOWS\SYSTEM32\SHELL32
\WINDOWS\SYSTEM32\USER32

Con un nombre similar a:

Código:

“\   q 3 f 4 5 g 6 7 4 w 2 5 7 h j 2 4 w 5 3 g f 2 o 8 4 7 b t o q 8 3 6 w y 4 t g 5 q 4 5 y j h           . e x e

Y chequea si estos son verdaderos:

Código:

 IsUserAnAdmin     U A C

Por ende a mi parecer es un malware MUY MAL cifrado y empaquetado.

No quiero presumir pero si hay algo que se es VB6 y eso esta infectado nada de pavadas de "esta detectado".

Mod si te parece correcto bloquea el post y elimina el link de descarga.

GRACIAS POR LEER!!!


	En línea

"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

79137913 *Shadow Scouts Team*

Páginas: [1] 2 3

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Smiles icon set 1 and 2 Diseño Gráfico	surfo	6	3,439	26 Marzo 2005, 11:39 am por ....Gusto....
	Notify Icon .NET (C#, VB.NET, ASP)	T_O_N_N_Y	2	3,773	24 Junio 2006, 21:34 pm por T_O_N_N_Y
	[Delphi] DH Icon Changer 0.1 Programación General	BigBear	0	1,927	30 Agosto 2013, 20:31 pm por BigBear
	[Delphi] DH Icon Changer 0.5 Programación General	BigBear	0	1,799	11 Abril 2014, 18:36 pm por BigBear
	"Dz Icon o Dz Icon light" Dispositivos Móviles (PDA's, Smartphones, Tablets)	win_7	1	1,773	26 Septiembre 2018, 15:24 pm por Sytry