elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Análisis de Malware VB
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Análisis de Malware VB  (Leído 6,550 veces)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Análisis de Malware VB
« en: 8 Mayo 2012, 18:39 pm »

Hola.... tal vez digan hay un subforo para esto y si... pero aquí me siento más a gusto, además no tenemos que hacer ing. inversa para analizar malware? :P

Espero que no me muevan el post... hasta que el tutorial esté completo :P


Para los me conocen de cerca saben que ahora hago análisis de malware, pero como siempre el tema de malware en VB siempre es pesado, más para los que no programamos en dicho lenguaje.

Bien mi pregunta es esta que hace esta api:

__vbaVarLateMemCallLd

He googleado pero aún no lo tengo claro, aunque creo que no tiene relevancia en el análisis que estoy haciendo, (luego explicaré porque!) desearía saber sobre esta api, ya que para otra oportunidad no tendría problemas.

pd: ya iré documentando lo que encuentre hasta formar un tute :P

Saludos,
Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Análisis de Malware VB
« Respuesta #1 en: 8 Mayo 2012, 22:51 pm »

Por lo que asocio: vbaVarLateMemCallLd = VBA Variable Late Memory Call Load/er

Por lo que recuerdo: Podria usarse para cargar objetos OCX en runtime. Tambien podria ser para cargar/inicializar objetos/clases que estan dentro de un OCX (un OCX puede tener varios objetos/controles)

Si recuerdo algo mas, aviso...
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Análisis de Malware VB
« Respuesta #2 en: 8 Mayo 2012, 23:04 pm »

uhm... pues cuando llego ahí... y paso con F8...  FLOAT INEXACT RESULT, según leí es "normal" que pase esto con los vb, pero creo que hay algo en el malware que me hace pensar que está hecho a propósito, ya  estoy terminando de documentar lo que he visto, cuando lo termine posteo... haber si me hechas un cable Fly! o el que pueda jejeje.



Saludos,
Nox.
« Última modificación: 9 Mayo 2012, 23:21 pm por Иōҳ » En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Análisis de Malware VB
« Respuesta #3 en: 9 Mayo 2012, 00:35 am »

Para que el post no sea sumamente largo, documenté lo que había visto en doc.

 http://www.mediafire.com/download.php?bcuh53jmurxj2x1

A ver si alguien reconoce algo :D.

pd: el que desea la muestra que me mande un MP o que chifle y se lo mando :P

Saludos,
Nox.
« Última modificación: 9 Mayo 2012, 23:21 pm por Иōҳ » En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Análisis de Malware VB
« Respuesta #4 en: 9 Mayo 2012, 23:02 pm »

yo quiero una muestra :D gracias
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Análisis de Malware VB
« Respuesta #5 en: 9 Mayo 2012, 23:45 pm »

Vaya el curro me tiene sin tiempo, justo cuando iba por la mejor parte, me piden que hagan unas cosas... veré si hoy lo termino, si no, ya mañana lo miraré...

Saludos.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Análisis de Malware VB
« Respuesta #6 en: 10 Mayo 2012, 17:28 pm »

Alguna idea de que hace rtcAnsiValueBstr?


Según lo que vi cuando le pasaba un carácter 41h = 'A'
me devolvía en EAX = 41, pero esta vez el valor ocupa dos bytes como sigue -->

Le pasaron como parámetro 0192h y me devolvió 83h

EAX = [ADDR] = 192h

Código
  1. push eax
  2. call rtcAnsiValueBstr

EAX = 83h

Alguien sabe el por qué?

Saludos,
Nox.

En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Análisis de Malware VB
« Respuesta #7 en: 10 Mayo 2012, 20:07 pm »

Creo que el Bstr corresponde a algo asi como una cadena UNICODE, que son las usadas internamente por VB.

Normalmente lo usarian para convertir valores ascii en chars y asi poder concatenarlos despues...
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
analisis y diseno de malware « 1 2 »
Sugerencias y dudas sobre el Foro
YST 17 10,626 Último mensaje 21 Junio 2009, 23:51 pm
por Littlehorse
Duda en análisis de malware
Ingeniería Inversa
w0nt0n 7 5,077 Último mensaje 14 Febrero 2012, 20:06 pm
por w0nt0n
[AIO elhacker.NET] Compilación herramientas análisis y desinfección malware « 1 2 ... 6 7 »
Seguridad
r32 64 75,061 Último mensaje 28 Abril 2013, 19:09 pm
por Luis12357
Análisis, Malware ACAD/Medre
Análisis y Diseño de Malware
Иōҳ 1 3,106 Último mensaje 27 Junio 2012, 23:04 pm
por Иōҳ
Visualización y análisis de malware con ProcDot
Ingeniería Inversa
karmany 0 3,226 Último mensaje 23 Abril 2013, 12:06 pm
por karmany
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines