Hola.... tal vez digan hay un subforo para esto y si... pero aquí me siento más a gusto, además no tenemos que hacer ing. inversa para analizar malware?

Espero que no me muevan el post... hasta que el tutorial esté completo


Para los me conocen de cerca saben que ahora hago análisis de malware, pero como siempre el tema de malware en VB siempre es pesado, más para los que no programamos en dicho lenguaje.

Bien mi pregunta es esta que hace esta api:

__vbaVarLateMemCallLd

He googleado pero aún no lo tengo claro, aunque creo que no tiene relevancia en el análisis que estoy haciendo, (luego explicaré porque!) desearía saber sobre esta api, ya que para otra oportunidad no tendría problemas.

pd: ya iré documentando lo que encuentre hasta formar un tute

Saludos,
Nox.

uhm... pues cuando llego ahí... y paso con F8...  FLOAT INEXACT RESULT, según leí es "normal" que pase esto con los vb, pero creo que hay algo en el malware que me hace pensar que está hecho a propósito, ya  estoy terminando de documentar lo que he visto, cuando lo termine posteo... haber si me hechas un cable Fly! o el que pueda jejeje.



Saludos,
Nox.

yo quiero una muestra gracias

Alguna idea de que hace rtcAnsiValueBstr?


Según lo que vi cuando le pasaba un carácter 41h = 'A'
me devolvía en EAX = 41, pero esta vez el valor ocupa dos bytes como sigue -->

Le pasaron como parámetro 0192h y me devolvió 83h

EAX = [ADDR] = 192h

push eax
call rtcAnsiValueBstr

EAX = 83h

Alguien sabe el por qué?

Saludos,
Nox.