elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Mitos sobre los troyanos más utilizados
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Mitos sobre los troyanos más utilizados  (Leído 11,523 veces)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Mitos sobre los troyanos más utilizados
« Respuesta #10 en: 27 Febrero 2012, 15:12 pm »

Me he leído la primera parte y por el momento no se comenta nada no se ve nada extraño, desgraciadamente no logro encontrar la parte #2


No existe la parte dos... como todos, lo que más falta es tiempo, y nunca se hizo la parte 2 =/.

Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: Mitos sobre los troyanos más utilizados
« Respuesta #11 en: 27 Febrero 2012, 21:22 pm »

Yo hablo de las oficiales no copias..
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Mitos sobre los troyanos más utilizados
« Respuesta #12 en: 28 Febrero 2012, 01:20 am »

No creo que Shaddy haya hecho pruebas en una no oficial...
y escribi lo que estaba en el tuto eh! ( Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado )
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Mitos sobre los troyanos más utilizados
« Respuesta #13 en: 28 Febrero 2012, 05:13 am »

No creo que Shaddy haya hecho pruebas en una no oficial...
y escribi lo que estaba en el tuto eh! ( Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado )

En esa parte del tutorial se da a entender que efectivamente está infectado al ser un troyano y ser un servidor, cualquier servidor debe poseer un código malicioso que se encargue de establecer conexiones a un cliente remoto esperando acciones. Luego comenta que no se conecta a ningún lado es decir que no genera alguna conexión adicional hacia otro cliente distinto al configurado.

No existe la parte dos... como todos, lo que más falta es tiempo, y nunca se hizo la parte 2 =/.

Nox.

Lo entiendo más que claro jaja
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: Mitos sobre los troyanos más utilizados
« Respuesta #14 en: 22 Marzo 2012, 04:04 am »

no hizo parte 2 porque uso inctrl (algo como sandiebox y fue muy claro pillar los datos)
antes de:
Citar
Ahí va recién salido del horno.

Ya llevaba la idea desde hace tiempo y de momento sale la parte 1... el archivo adjunto contiene.

"Bifrost_core.dll" -> .DLL con cabecera reparada y descomprimida (de UPX), y tabla IAT arreglada que contiene el núcleo del troyano.
"PE_Header.Bifrost_core.txt" -> Copia de la Información del PE Header de la librería que se crea en memoria.
"Server.exe_INFECTED" -> Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado).

En ésta parte se ve solamente hasta lo que es extraer la .dll de la memoria, en la segunda parte haré el análisis Estático con IDA (que tengo casi terminado) y escribiré el funcionamiento sobre como se Instala en el SO, Protocolos de comunicación, Desinstalación y Contra-Ataques que se puedan hacer...

Si hay alguien que le interese saber como reparé la .dll una vez volcada que me escriba al privado y haré una Parte III o un Anexo.

Un saludo.

Shaddy.




Citar
2. Pues si os llegáis a infectar, habría que mirar...

Installation Report: server
Generated by InCtrl5, version 1.0.0.0
Install program: C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe
6/13/2009 11:02 PM

------------------------------------------------------------
Registry
********

Keys ignored: 0
---------------
* (none)

Keys added: 5
-------------
HKEY_CURRENT_USER\Software\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo

Values added: 4
---------------
HKEY_CURRENT_USER\Software\Bifrost "klg"
Type: REG_BINARY
Data:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe"
Type: REG_SZ
Data: server
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost "nck"
Type: REG_BINARY
Data: ED, 1B, E6, 27, B9, 28, D6, 32, 74, C3, CD, 74, FA, 93, 5B, 67
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s

Values deleted: 2
-----------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}

Values changed: 5
-----------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG "Seed"
Old type: REG_BINARY
New type: REG_BINARY
Old data: EA, 91, EB, 59, D0, 7B, 42, 9D, 7E, 74, D6, 3A, 4F, FE, 8B, 98, BE, 41, 20, 27, 79, 90, F6, 07, EA, E3, 1B, 18, 10, 27, 0B, DB, B6, CE, 9A, F8, 6F, C5, BC, 51, 9D, 2F, 31, F5, 3B, 01, BB, 7C, 4A, 4E, F3, E0, 5B, B4, 60, 23, B1, 92, 81, 69, 06, 1B, BB, B6, A5, F0, 27, 6A, 4B, 3F, 02, A4, 28, 36, 65, 2B, 02, B9, 55, B1
New data: 25, EB, 9A, 4B, 8C, A8, 16, EE, CC, AA, 04, 54, 97, 6D, 02, 3D, FA, BE, 72, 21, AA, 56, 2E, 8A, C1, 30, EA, 02, 43, E0, 61, AD, B1, 6F, E2, 27, 5A, AA, D5, E9, AB, A5, 8E, D7, 24, 3B, 93, FC, BB, C2, 27, 7B, 18, 6F, BC, CD, D6, 51, 70, 3B, 11, D6, 3E, F4, D3, D6, 60, 9C, 34, D4, 89, B1, 76, F5, E2, CE, C9, AB, B9, 4A
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
------------------------------------------------------------
Disk contents
*************

Drives tracked: 1
-----------------
* c:\

Folders added: 1
----------------
c:\Archivos de programa\Bifrost

Files added: 1
--------------
c:\Archivos de programa\Bifrost\server.exe
Date: 8/19/2004 5:42 PM
Size: 27.517 bytes

----

Eso es lo que hace x)..

Pero vamos, que es un bicho muy suavecito, además no conecta a ningún sitio.

Un saludo.

Shaddy.
Citar
joer, quería ponerla en negrita y no se ha puesto... otra vez.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s

Ahí es donde se instala, mediante clave ActiveX, si cierras IEXPLORE.EXE y borras esa clave y el server.exe ya no hay bicho ni nada.

Un saludo.

Shaddy.
Citar
Lo que he hecho hasta ahora, es ir sacando pieles de la "cebolla" que tiene por encima, hasta dar con la .dll, de ésta forma se puede analizar en IDA con comidad y hacer un análisis más completo y general... eso irá en la segunda parte :).

Un saludo.

Shaddy.
Citar
16/09/09
si.. todavía tengo la parte II del bifrost ahí en el pendrive a medias xD
« Última modificación: 22 Marzo 2012, 04:22 am por apuromafo » En línea

Apuromafo
the_scar

Desconectado Desconectado

Mensajes: 7



Ver Perfil
Re: Mitos sobre los troyanos más utilizados
« Respuesta #15 en: 29 Abril 2012, 22:22 pm »

Mas que mito, era como lo del 11m que algunas personas lo sabian y otras no y lo instalaban en una maquina virtual. Desconfía y acertaras, nadie da duros por cuatro pesetas, bueno si las ong (algunas) >:D
En línea

Hay tipos de personas las que conocen el sistema numérico sexagesimal y las que no.
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
10 mitos sobre el overclocking
Hardware
STANHMAL 0 3,849 Último mensaje 31 Marzo 2010, 19:58 pm
por STANHMAL
Los mitos sobre la seguridad de Mac OS X
Noticias
wolfbcn 1 2,436 Último mensaje 18 Mayo 2011, 15:31 pm
por Lunfardo
Diez mitos sobre la edición digital
Noticias
wolfbcn 0 1,717 Último mensaje 22 Marzo 2012, 02:43 am
por wolfbcn
Mitos y consejos sobre los computadores
Hardware
mc5punk 9 3,932 Último mensaje 18 Agosto 2012, 16:45 pm
por imoen
Falsos mitos sobre la tecnología
Noticias
wolfbcn 0 1,828 Último mensaje 26 Diciembre 2013, 22:14 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines