elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  problema con firma win32.vbinject (ikarus/a squared)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: problema con firma win32.vbinject (ikarus/a squared)  (Leído 4,524 veces)
krisium

Desconectado Desconectado

Mensajes: 4


Ver Perfil
problema con firma win32.vbinject (ikarus/a squared)
« en: 7 Noviembre 2010, 21:29 pm »

hola,aver si alguien me puede echar una mano,estoy limpiando unos stubs y...bueno el a squared / ikarus me estan matando con la dichosa firma,



como veis en la imagen la firma detectada es la marcada,pero...he probado a taparla,sigue saliendo,he probado a tapar 10 offset anteriores...sigue saliendo,he probado hasta tapar todo lo que se ve en la imagen...y la jodida sigue saliendo...harta de darle vueltas y no encontrar manera de taparla he llegado a la conclusion de que tiene que estar en otra parte,pero la deteccion la hace hay...alguien me puede dar algun consejo antes de ponerme a tapar a mano hasta que deje de saltar?? :huh:
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: problema con firma win32.vbinject (ikarus/a squared)
« Respuesta #1 en: 8 Noviembre 2010, 01:45 am »

Míralo con un debuger como Olly, con el editor hexadecimal poco puedes ver, y si logras encontrar donde está la firma no vas a ser capaz de saber qué la provoca ni como arreglarla. Yo intentaría primero buscar el "¿por qué lo detecta?" y luego intentar arreglarla sustituyendo el código detectado por otro que haga lo mismo de una forma diferente.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
krisium

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: problema con firma win32.vbinject (ikarus/a squared)
« Respuesta #2 en: 8 Noviembre 2010, 10:01 am »

si,imaginaba que esos eran los pasos a seguir,por desgracia no creo que sea capad de seguir el funcionamiento por el olly,podrias recomendarme algun tutorial??
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: problema con firma win32.vbinject (ikarus/a squared)
« Respuesta #3 en: 8 Noviembre 2010, 12:09 pm »

Esa firma parece estar simplemente en el nombre del proyecto que almacena VB... no tiene porque significar que con quitar eso se arregle, es un conjunto de ciertos parametros lo que hace que la heuristica salte...

Lo mejor que puedes hacer es eliminar la cadena "VB5!" del ejecutable ademas de variar el codigo que hay en el EntryPoint... para esto necesitaras algunos conocimientos de Ing. Inversa:
Código:
http://foro.elhacker.net/ingenieria_inversa-b26.0/

Todos los ejecutables de VB6/5 tienen un codigo como este en el EntryPoint:
Código
  1. push ADDR
  2. call MSVBVM60.#100
Donde ADDR es el puntero a la estructura que contiene toda la informacion del ejecutable... lo que has de hacer es modificar ese codigo para que quede algo que impida que el AV lea la informacion que hay en tu ejecutable... algo como esto (O cualquier otro codigo basura):
Código
  1. pminsw xmm0,xmm1
  2. push ADDR
  3. call MSVBVM60.#100
(Este me gusta especialmente porque se salta la deteccion del NOD32 :-*)

Como ya te he dicho necesitaras aprender lo basico de Ing. Inversa, uso del OllyDbg y estaria bien que aprendieses algo de ASM, para entender las instrucciones que te he puesto mas arriba...

Un saludo ;)
« Última modificación: 8 Noviembre 2010, 12:11 pm por Karcrack » En línea

krisium

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: problema con firma win32.vbinject (ikarus/a squared)
« Respuesta #4 en: 8 Noviembre 2010, 12:50 pm »

ok entonces entiendo que es como la dropper,que tienen que darse algunas coincidencias para que salte,pense que era una firma fisica...gracias por la aclaracion ;)

codigo basura...nunca lo he agregado desde el olly,cuestion de empezar a mirarlo

lo del vb5¡ ya esta fuera,es un tip muy tipico,incluso probe quitar .dll y mover el EP,pero al moverlo cruje el stub,me dare una vuelta por ing. inversa,seguro que aprendo alguna joya,gracias por el link ;)
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda con firma Win32:VBCrypt-VW !!
Análisis y Diseño de Malware
VanHelsing810 9 6,352 Último mensaje 7 Diciembre 2014, 03:12 am
por x64core
Vulnerabilidad en Ikarus Antivirus
Noticias
wolfbcn 0 1,609 Último mensaje 20 Noviembre 2017, 02:13 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines