elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Icon changer
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Icon changer  (Leído 14,831 veces)
sadfud

Desconectado Desconectado

Mensajes: 25


Ver Perfil WWW
Re: Icon changer
« Respuesta #10 en: 13 Marzo 2015, 21:02 pm »

madre mia.. pues claro que dumpea.. lo que tienen los crypters que dumpean en memoria... llegaste a conclusiones muy erroneas asique no sabras tanto.. cuando este en casa publico el source te lo compilas y ademas te mando el crypter para que te des cuenta de que estas erroneo y lo que hace es descifrar en memoria, para que os deis cuenta la cantidad de tonterias que habeis escrito
En línea

79137913


Desconectado Desconectado

Mensajes: 1.169


4 Esquinas


Ver Perfil WWW
Re: Icon changer
« Respuesta #11 en: 13 Marzo 2015, 21:48 pm »

HOLA!!!

Voy a hacer oidos sordos a los insultos. :laugh:

Si vos lo decis...mostra el source  :silbar:  pero no era que habias perdido el binario? si hubieses temido el source hubiera sido tan facil como compilarlo de nuevo y listo.

Yo me ofresco para compilar el source y subirlo.

GRACIAS POR LEER!!!
En línea

"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

 79137913                          *Shadow Scouts Team*
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Icon changer
« Respuesta #12 en: 13 Marzo 2015, 21:59 pm »

insisto... es más sospechoso aún... el analisis superficial de 79137913

a demás indica que dumpea en
Código:
\WINDOWS\SYSTEM32\SHELL32
\WINDOWS\SYSTEM32\USER32

si el icon changer te daba firma de virus, creo que puedes tener infectado el compilador...

pero que el crypter haga dump allí, deja más que sospecha, ya que necesitas permisos de usuario, para eso haces dump en temp y listo...
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Icon changer
« Respuesta #13 en: 13 Marzo 2015, 22:58 pm »

Buenas,

Temporalmente pongo el enlace entre etiquetas y aviso hasta que se aclare el asunto. sadfud, si puedes proporcionar el code estaría muy bien. Si no, es difícil creerte. Aunque digas la verdad, pasarlo por un crypter fue mala idea :/

Saludos
En línea

sadfud

Desconectado Desconectado

Mensajes: 25


Ver Perfil WWW
Re: Icon changer
« Respuesta #14 en: 13 Marzo 2015, 23:36 pm »

A ver voy dejando las cosas si falta algo para despejar cualquier duda pedirlo, encontre el binario original en la papelera el proyecto no lo tengo pero aqui deje el source y alguna info
http://pastebin.com/rEErngXX

ahora link del crypter https://www.sendspace.com/file/lzpy1c

y pass cifrada en vita13
Código:
ÆGþætÞÆ}þærÞævÞÆiþætÞæ"ÞÆSþæpÞænÞÆmþæpÞÆiþæ"ÞæDÞÆ}þæ"ÞÆGþætÞÆyþæ\Þæ"ÞÆ1þæ"ÞæFÞÆeþæ"ÞÆkþætÞÆeþÆgþÆmþÆeþÆwþæ"ÞÆ%þÆ%þ

aclarar que el crypter no fue realizado por mi

Espero que este todo claro y siento si ofendi con el ultimo comentario a alguien
En línea

WIитX


Desconectado Desconectado

Mensajes: 1.026


WINTX


Ver Perfil WWW
Re: Icon changer
« Respuesta #15 en: 13 Marzo 2015, 23:50 pm »

A ver voy dejando las cosas si falta algo para despejar cualquier duda pedirlo, encontre el binario original en la papelera el proyecto no lo tengo pero aqui deje el source y alguna info
http://pastebin.com/rEErngXX

ahora link del crypter https://www.sendspace.com/file/lzpy1c

y pass cifrada en vita13
Código:
ÆGþætÞÆ}þærÞævÞÆiþætÞæ"ÞÆSþæpÞænÞÆmþæpÞÆiþæ"ÞæDÞÆ}þæ"ÞÆGþætÞÆyþæ\Þæ"ÞÆ1þæ"ÞæFÞÆeþæ"ÞÆkþætÞÆeþÆgþÆmþÆeþÆwþæ"ÞÆ%þÆ%þ

aclarar que el crypter no fue realizado por mi

Espero que este todo claro y siento si ofendi con el ultimo comentario a alguien


Citar
Hola, os dejo este icon changer que hice hace un par de meses

¬,¬
En línea

"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
sadfud

Desconectado Desconectado

Mensajes: 25


Ver Perfil WWW
Re: Icon changer
« Respuesta #16 en: 13 Marzo 2015, 23:56 pm »

una cosa es el crypter y otra el icon changer
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Icon changer
« Respuesta #17 en: 14 Marzo 2015, 00:25 am »

CHICOS al parecer sadfud no tiene la culpa el solo utilizó un crypter ajeno a sus tools por lo cual no sabía que este contenía una especie de malware (a simple vista pues no se ha visto nada que lo pruebe, solo una copia de un archivo dumpeado en un cierto PATH). Ahora mi duda es por qué cifrar un ejecutable que no requiere ser cifrado, eso levanta sospechas, solo eso. Pero no creo que podamos criticar al usuario si usó un crypter de terceros que creen? Ahora si dispongo de tiempo enviaré el archivo a Ingeniería Inversa a ver que hace el crypter, si este establece alguna conexión y místicamente coincide con la IP del usuario pues claro podemos agredirle pero mientras tanto el es 100% inocente.
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
79137913


Desconectado Desconectado

Mensajes: 1.169


4 Esquinas


Ver Perfil WWW
Re: Icon changer
« Respuesta #18 en: 14 Marzo 2015, 00:33 am »

HOLA!!!

El codigo funciona correctamente y no es malicioso... pero lean hasta el fondo:
(pueden omitir los codigos)

Listo, lo prometido es deuda les dejo un rar con los siguiente archivos:


Una imagen de como quedo:


URL de descarga directa:
http://www.mediafire.com/download/dgiw82kyqtpaw9w/Cambia_Icono.rar

Source del Formulario:
Código
  1. Private Sub Command1_Click()
  2. With CD
  3.        .DialogTitle = "Select exe file..."
  4.        .Filter = "Executable Files (*.exe)|*.exe"
  5.        .ShowOpen
  6.    End With
  7.  
  8.    Text1.Text = CD.FileName
  9. End Sub
  10.  
  11.  
  12.  
  13. Private Sub Command2_Click()
  14. With CD
  15.        .DialogTitle = "Select icon file..."
  16.        .Filter = "Icons (*.ico)|*.ico"
  17.        .ShowOpen
  18.    End With
  19.  
  20.    Text2.Text = CD.FileName
  21. End Sub
  22.  
  23.  
  24.  
  25. Private Sub Command3_Click()
  26. If ChangeIcon(Text1.Text, Text2.Text) Then
  27.        MsgBox "Hecho", vbInformation, "Mensagem"
  28.    Else
  29.        MsgBox "Error", vbInformation, "Mensagem"
  30.    End If
  31. End Sub

Source del Modulo:
Código
  1. Option Explicit
  2.  
  3. Private Const OPEN_EXISTING             As Long = &H3
  4. Private Const INVALID_HANDLE_VALUE      As Long = -1
  5. Private Const GENERIC_READ              As Long = &H80000000
  6. Private Const FILE_ATTRIBUTE_NORMAL     As Long = &H80
  7. Private Const FILE_BEGIN                As Long = &H0
  8. Private Const RT_ICON                   As Long = &H3
  9. Private Const RT_GROUP_ICON             As Long = &HE
  10.  
  11. Private Type ICONDIRENTRY
  12.    bWidth          As Byte
  13.    bHeight         As Byte
  14.    bColorCount     As Byte
  15.    bReserved       As Byte
  16.    wPlanes         As Integer
  17.    wBitCount       As Integer
  18.    dwBytesInRes    As Long
  19.    dwImageOffset   As Long
  20. End Type
  21.  
  22. Private Type ICONDIR
  23.    idReserved      As Integer
  24.    idType          As Integer
  25.    idCount         As Integer
  26. End Type
  27.  
  28. Private Type GRPICONDIRENTRY
  29.    bWidth          As Byte
  30.    bHeight         As Byte
  31.    bColorCount     As Byte
  32.    bReserved       As Byte
  33.    wPlanes         As Integer
  34.    wBitCount       As Integer
  35.    dwBytesInRes    As Long
  36.    nID             As Integer
  37. End Type
  38.  
  39. Private Type GRPICONDIR
  40.    idReserved      As Integer
  41.    idType          As Integer
  42.    idCount         As Integer
  43.    idEntries()     As GRPICONDIRENTRY
  44. End Type
  45.  
  46. Private Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwDesiredAccess As Long, ByVal dwShareMode As Long, lpSecurityAttributes As Any, ByVal dwCreationDisposition As Long, ByVal dwFlagsAndAttributes As Long, ByVal hTemplateFile As Long) As Long
  47. Private Declare Function ReadFile Lib "kernel32" (ByVal lFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpNumberOfBytesRead As Long, lpOverlapped As Any) As Long
  48. Private Declare Function SetFilePointer Lib "kernel32" (ByVal lFile As Long, ByVal lDistanceToMove As Long, lpDistanceToMoveHigh As Long, ByVal dwMoveMethod As Long) As Long
  49. Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
  50. Private Declare Function BeginUpdateResource Lib "kernel32" Alias "BeginUpdateResourceA" (ByVal pFileName As String, ByVal bDeleteExistingResources As Long) As Long
  51. Private Declare Function UpdateResource Lib "kernel32" Alias "UpdateResourceA" (ByVal lUpdate As Long, ByVal lpType As Long, ByVal lpName As Long, ByVal wLanguage As Long, lpData As Any, ByVal cbData As Long) As Long
  52. Private Declare Function EndUpdateResource Lib "kernel32" Alias "EndUpdateResourceA" (ByVal lUpdate As Long, ByVal fDiscard As Long) As Long
  53. Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
  54.  
  55. Public Function ChangeIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
  56.    Dim lFile               As Long
  57.    Dim lUpdate             As Long
  58.    Dim lRet                As Long
  59.    Dim i                   As Integer
  60.    Dim tICONDIR            As ICONDIR
  61.    Dim tGRPICONDIR         As GRPICONDIR
  62.    Dim tICONDIRENTRY()     As ICONDIRENTRY
  63.  
  64.    Dim bIconData()         As Byte
  65.    Dim bGroupIconData()    As Byte
  66.  
  67.    lFile = CreateFile(strIcoPath, GENERIC_READ, 0, ByVal 0&, OPEN_EXISTING, 0, ByVal 0&)
  68.  
  69.    If lFile = INVALID_HANDLE_VALUE Then
  70.        ChangeIcon = False
  71.        CloseHandle (lFile)
  72.        Exit Function
  73.    End If
  74.  
  75.    Call ReadFile(lFile, tICONDIR, Len(tICONDIR), lRet, ByVal 0&)
  76.  
  77.    ReDim tICONDIRENTRY(tICONDIR.idCount - 1)
  78.  
  79.    For i = 0 To tICONDIR.idCount - 1
  80.        Call ReadFile(lFile, tICONDIRENTRY(i), Len(tICONDIRENTRY(i)), lRet, ByVal 0&)
  81.    Next i
  82.  
  83.    ReDim tGRPICONDIR.idEntries(tICONDIR.idCount - 1)
  84.  
  85.    tGRPICONDIR.idReserved = tICONDIR.idReserved
  86.    tGRPICONDIR.idType = tICONDIR.idType
  87.    tGRPICONDIR.idCount = tICONDIR.idCount
  88.  
  89.    For i = 0 To tGRPICONDIR.idCount - 1
  90.        tGRPICONDIR.idEntries(i).bWidth = tICONDIRENTRY(i).bWidth
  91.        tGRPICONDIR.idEntries(i).bHeight = tICONDIRENTRY(i).bHeight
  92.        tGRPICONDIR.idEntries(i).bColorCount = tICONDIRENTRY(i).bColorCount
  93.        tGRPICONDIR.idEntries(i).bReserved = tICONDIRENTRY(i).bReserved
  94.        tGRPICONDIR.idEntries(i).wPlanes = tICONDIRENTRY(i).wPlanes
  95.        tGRPICONDIR.idEntries(i).wBitCount = tICONDIRENTRY(i).wBitCount
  96.        tGRPICONDIR.idEntries(i).dwBytesInRes = tICONDIRENTRY(i).dwBytesInRes
  97.        tGRPICONDIR.idEntries(i).nID = i + 1
  98.    Next i
  99.  
  100.    lUpdate = BeginUpdateResource(strExePath, False)
  101.    For i = 0 To tICONDIR.idCount - 1
  102.        ReDim bIconData(tICONDIRENTRY(i).dwBytesInRes)
  103.        SetFilePointer lFile, tICONDIRENTRY(i).dwImageOffset, ByVal 0&, FILE_BEGIN
  104.        Call ReadFile(lFile, bIconData(0), tICONDIRENTRY(i).dwBytesInRes, lRet, ByVal 0&)
  105.  
  106.        If UpdateResource(lUpdate, RT_ICON, tGRPICONDIR.idEntries(i).nID, 0, bIconData(0), tICONDIRENTRY(i).dwBytesInRes) = False Then
  107.            ChangeIcon = False
  108.            CloseHandle (lFile)
  109.            Exit Function
  110.        End If
  111.  
  112.    Next i
  113.  
  114.    ReDim bGroupIconData(6 + 14 * tGRPICONDIR.idCount)
  115.    CopyMemory ByVal VarPtr(bGroupIconData(0)), ByVal VarPtr(tICONDIR), 6
  116.  
  117.    For i = 0 To tGRPICONDIR.idCount - 1
  118.        CopyMemory ByVal VarPtr(bGroupIconData(6 + 14 * i)), ByVal VarPtr(tGRPICONDIR.idEntries(i).bWidth), 14&
  119.    Next
  120.  
  121.    If UpdateResource(lUpdate, RT_GROUP_ICON, 1, 0, ByVal VarPtr(bGroupIconData(0)), UBound(bGroupIconData)) = False Then
  122.        ChangeIcon = False
  123.        CloseHandle (lFile)
  124.        Exit Function
  125.    End If
  126.  
  127.    If EndUpdateResource(lUpdate, False) = False Then
  128.        ChangeIcon = False
  129.        CloseHandle (lFile)
  130.    End If
  131.  
  132.    Call CloseHandle(lFile)
  133.    ChangeIcon = True
  134. End Function
  135. Public Function ExtractIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
  136.    'In Progress
  137. End Function



Ahora a develar la mentira:
https://www.virustotal.com/es-ar/file/0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1/analysis/1426289235/
Código:
SHA256: 	0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1
Nombre: Cambia Icono Original.exe
Detecciones: 0 / 57
Fecha de análisis: 2015-03-13 23:27:15 UTC ( hace 0 minutos )

Os lo explico de nuevo que parece que no lo habeis entendido.
al hacerlo tenia dos firmas y queria que no tuviera ninguna (siempre es mas bonito un verde)...

El codigo compilado no da ningun rastro de virus y el señor dijo que si...Por ende nos quiso embaucar a todos.

Y para que sepan el compilado solo pesa 24KB , y el que subio el señor pesa 700 kb aprox, en la diferencia debe haber algun rat...

Parece que sadfud al final si cree que somos taringa y vamos a caer en esas cosas. Mejor suerte la proxima!  :silbar: ;-)  :laugh:  :xD

P.D: Vale aclarar que lo que dice engel lex puede ser cierto por ahi:
si el icon changer te daba firma de virus, creo que puedes tener infectado el compilador...

GRACIAS POR LEER!!!
« Última modificación: 14 Marzo 2015, 00:45 am por 79137913 » En línea

"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

 79137913                          *Shadow Scouts Team*
sadfud

Desconectado Desconectado

Mensajes: 25


Ver Perfil WWW
Re: Icon changer
« Respuesta #19 en: 14 Marzo 2015, 00:58 am »

joder.. espero que no lo estes haciendo por joder macho..
1 mi archivo original pesa 128 KB
2 el que pesa 700 es al pasar el crypter
3 la diferencia entre mi archivo original y el tuyo es la skin ( lee el pastebin entero)
4 mi archivo original no solo tiene 2 firmas sino que mes y pico despues de aquel examen tiene 4 mas ( todas de la familia del bitdefender)

no le des mas vueltas, encaja todo, no entiendo que me quieras dejar de mentiroso adjunte analisis de todo, parte que recortas en tu comentario, me explicaras porque....

no se si pensar que fuiste directo al codigo sin leer lo de antes o si lo haces para no admitir que te equivocaste al acusarme, de todos modos, espero que la gente haga caso a un moderador antes que a un usuario, no manches mas mi nombre.

En línea

Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Smiles icon set 1 and 2
Diseño Gráfico
surfo 6 3,806 Último mensaje 26 Marzo 2005, 11:39 am
por ....Gusto....
Notify Icon
.NET (C#, VB.NET, ASP)
T_O_N_N_Y 2 4,058 Último mensaje 24 Junio 2006, 21:34 pm
por T_O_N_N_Y
[Delphi] DH Icon Changer 0.1
Programación General
BigBear 0 2,063 Último mensaje 30 Agosto 2013, 20:31 pm
por BigBear
[Delphi] DH Icon Changer 0.5
Programación General
BigBear 0 1,990 Último mensaje 11 Abril 2014, 18:36 pm
por BigBear
"Dz Icon o Dz Icon light"
Dispositivos Móviles (PDA's, Smartphones, Tablets)
win_7 1 2,002 Último mensaje 26 Septiembre 2018, 15:24 pm
por Sytry
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines