elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Spreader Facebook.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Spreader Facebook.  (Leído 5,860 veces)
Elemental Code


Desconectado Desconectado

Mensajes: 622


Im beyond the system


Ver Perfil
Spreader Facebook.
« en: 20 Diciembre 2010, 23:49 pm »

Hola.
Estaba en faisbuc como siempre al re pedo cuando me mandan esto:

"Foto  http://www.facebook.com/l.php?u=www.acoplasticos.org/crm"


entro en acroplasticos y me encuentro con un site igualito a Facebook pero con un boton que dice que para ver la foto necesito bajarla.
OBVIAMENTE baja un archivo EXE que NO abri.  :P

lo que me sorprendio es que funcionase por FB.

http://acoplasticos.org/crm/ es el sitio y me sorprendio que la home te direcciona a un supuesto sitio de nosequepolimero colombiano :S

Analizen si quieren sino ... no :P

EDITO: Lo meti en una sandbox:
http://camas.comodo.com/cgi-bin/submit?file=0c0be56c272d47e79daa8ae55bd39ed35589549a7b55176f5b764d359ae33edf

Se hace pasar por drives de nvidia
« Última modificación: 21 Diciembre 2010, 00:18 am por Elemental Code » En línea

I CODE FOR $$$
Programo por $$$
Hago tareas, trabajos para la facultad, lo que sea en VB6.0

Mis programas
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Spreader Facebook.
« Respuesta #1 en: 21 Diciembre 2010, 02:26 am »

Lo mire rapido y basicamente es algo asi:

1) Tiene un funcion para cragar las APIS.
2) Tiene otra funcion para descifrar informacion.
3) Una vez que carga las APIs, ejecuta "NET STOP" + 0x09 + 0x09
4) Usa CreateProcess para ejecutarse nuevamente, pero suspendido
5) Parchea el EXE ejecutado con WriteProcessMemory.
6) Resume la ejecucion con ResumeThread.
7) En medio hay un SetThreadContext que no mire mucho.

La idea seria reconstruir el EXE en disco, fijandose que parchea con WriteProcessMemory y despues pasarle IDA...

Eso es todo lo que pude ver por ahora... :)

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Simple 'WLM' Spreader
Programación Visual Basic
illuminat3d 2 2,670 Último mensaje 18 Noviembre 2009, 18:05 pm
por illuminat3d
[Source] Kryptonite Spreader Version InfrAngeluX
Programación Visual Basic
BlackZeroX 2 2,378 Último mensaje 15 Diciembre 2009, 21:59 pm
por BlackZeroX
[Spreader] Infectar ejecutables VB.NET « 1 2 »
.NET (C#, VB.NET, ASP)
kub0x 17 12,256 Último mensaje 2 Mayo 2012, 17:14 pm
por Maurice_Lupin
Spreader en pascal[APORTE]
Programación General
WarZ0n3 0 2,395 Último mensaje 15 Abril 2013, 00:10 am
por WarZ0n3
Spreader Crypter [USB Inf3ct] ByRoda
Criptografía
Roda 2 3,813 Último mensaje 10 Junio 2015, 00:13 am
por Roda
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines