Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.
Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...
Buen artículo...
Hola amigo
, pues normalmente la mayoría hacen así, en cuanto saque la II Parte ya verás que una vez exatraes el
kernel del bicho lo demás es puro análisis, así que hay que ir pelando la cebollita hasta tener lo que queremos.
La segunda parte la he pausado por momentos pero la estoy retomando, por la espera os pego un trozo del índice para que se vea el contenido. Ésto es solamente la parte II, faltan la III y la IV xD... y el Anexo que es reparar la .dll.. así que me queda mucho por delante, de a poco como diría ricardo
.
2.2. Situational Awareness
2.2.1. Deshabilitando el Data Execution Prevention (DEP).
2.2.2. Alternativa Windows NT 4 o inferiores.
2.2.3. Altermativa Windows 2000/XP/Vista y comprobación de privilegios.
2.2.4. Re-ejecución del server con parámetro (NT 4 o inferiores).
2.3. Targeting and weaponering
2.3.1. descifrado y extracción de configuración.
2.3.2. Instalación en el Sistema Operativo.
2.3.3. Creación de objeto Mutex.
2.3.4. Comprobación de Antivirus.
2.3.5. Loader de APIs virtualizadas.
2.3.6. Apertura de explorer y Emulación de 64 Bit.
2.3.7. Escritura remota de secciones y ejecución del hilo remoto.
Pero claro, como todo lo primero era extraer el
kernel .
Haber si puedo retomarlo que me queda muy poquito.
Un saludo!
Shaddy.
P.D: ¿Puedes enviarme una muestra con .rar/.zip con contraseña a mi correo de gmail? Gracias!