elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA  (Leído 4,615 veces)
Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
[Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« en: 16 Junio 2009, 16:08 »

Ahí envío un nuevo artículo sobre malware.

http://abssha.blogspot.com/2009/06/analisis-de-bifrost-v12-exahustivo.html

Un saludo.

Shaddy.
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
tena


Desconectado Desconectado

Mensajes: 668



Ver Perfil
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #1 en: 17 Junio 2009, 00:21 »

esplendido
En línea

Amerikano|Cls


Desconectado Desconectado

Mensajes: 789


[Beyond This Life]


Ver Perfil WWW
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #2 en: 18 Junio 2009, 16:09 »

He Shaddy por fin reactivaste el blog hee?, genial ahora lo leo y te digo  :), Felicitaciones por ello  :xD

salu2

EDITO: Lo he leido y simplemente genial lo que haces con esos bichos, como siempre Grande Shaddy sigue asi que la vida es corta  :P
« Última modificación: 18 Junio 2009, 16:45 por AmeRiK@nO » En línea





Mi blog:
http://amerikanocls.blogspot.com
karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.598


Sueñas que sueñas


Ver Perfil WWW
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #3 en: 22 Junio 2009, 17:22 »

Muy bueno... gracias.
En línea

karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.598


Sueñas que sueñas


Ver Perfil WWW
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #4 en: 22 Junio 2009, 22:41 »

Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...
En línea

Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #5 en: 23 Junio 2009, 01:02 »

Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...

Hola amigo :), pues normalmente la mayoría hacen así, en cuanto saque la II Parte ya verás que una vez exatraes el kernel del bicho lo demás es puro análisis, así que hay que ir pelando la cebollita hasta tener lo que queremos.

La segunda parte la he pausado por momentos pero la estoy retomando, por la espera os pego un trozo del índice para que se vea el contenido. Ésto es solamente la parte II, faltan la III y la IV xD... y el Anexo que es reparar la .dll.. así que me queda mucho por delante, de a poco como diría ricardo :).

Cita de: Bifrost Behavior Analisys Parte II
   2.2. Situational Awareness   
   2.2.1. Deshabilitando el Data Execution Prevention (DEP).
   2.2.2. Alternativa Windows NT 4 o inferiores.
   2.2.3. Altermativa Windows 2000/XP/Vista y comprobación de privilegios.
   2.2.4. Re-ejecución del server con parámetro (NT 4 o inferiores).
   2.3. Targeting and weaponering
   2.3.1. descifrado y extracción de configuración.
   2.3.2. Instalación en el Sistema Operativo.
   2.3.3. Creación de objeto Mutex.
   2.3.4. Comprobación de Antivirus.
   2.3.5. Loader de APIs virtualizadas.
   2.3.6. Apertura de explorer y Emulación de 64 Bit.
   2.3.7. Escritura remota de secciones y ejecución del hilo remoto.

Pero claro, como todo lo primero era extraer el kernel :).

Haber si puedo retomarlo que me queda muy poquito.

Un saludo!

Shaddy.

P.D: ¿Puedes enviarme una muestra con .rar/.zip con contraseña a mi correo de gmail? Gracias!
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
Nakp
casi es
Ex-Staff
*
Desconectado Desconectado

Mensajes: 6.336

he vuelto :)


Ver Perfil WWW
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #6 en: 23 Junio 2009, 03:06 »

entiendo que seas el moderador.. pero por qué no hiciste un copy/paste con fuente en vez de dejar el link simplemente?

esto es spam? :silbar:
En línea

Ojo por ojo, y el mundo acabará ciego.
Shaddy


Desconectado Desconectado

Mensajes: 722


one_bit_manipulator()


Ver Perfil WWW
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #7 en: 23 Junio 2009, 08:58 »

entiendo que seas el moderador.. pero por qué no hiciste un copy/paste con fuente en vez de dejar el link simplemente?

esto es spam? :silbar:

Porque estaba haciendo 200.000 cosas, y no tenía ganas de copiarlo todo 20.000 veces... y a diferencia de algunos moderadores de otros lados, prefiero perder el tiempo escribiendo y en ing. inversa y en enseñar, que es lo que de verdad importa que no en tonterías sin sentido de spam o no spam. Si alguien quiere leerlo que se de una vuelta por la página, sino no lo lee y punto. Y eso no es hacer SPAM, porque yo no gano nada con que tu entres en mi página, y al no lucrarme me es indiferente.

¿Any Problem?
En línea

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com
kraneos

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #8 en: 25 Agosto 2009, 13:37 »

Nightmare,podrias decirme que puertos van bien para el Bifrost ^^
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.857


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
« Respuesta #9 en: 25 Agosto 2009, 22:17 »

Como siempre ShaDDy: Excelente!!

Espero la segunda parte!

Saludos!

En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
China produce y aloja una tercera parte del malware mundial
Noticias
wolfbcn 0 962 Último mensaje 21 Junio 2011, 15:22
por wolfbcn
Sección Analisis y Diseño de Malware
Sugerencias y dudas sobre el Foro
fary 1 5,135 Último mensaje 15 Diciembre 2011, 23:53
por skapunky
Duda en análisis de malware
Ingeniería Inversa
w0nt0n 7 3,235 Último mensaje 14 Febrero 2012, 20:06
por w0nt0n
avast! infection detected en subforo analisis y diseño de malware
Seguridad
xiruko 2 1,885 Último mensaje 22 Abril 2012, 14:10
por xiruko
Análisis de Malware VB
Ingeniería Inversa
Иōҳ 7 4,156 Último mensaje 10 Mayo 2012, 20:07
por MCKSys Argentina
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines