Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: Shaddy en 16 Junio 2009, 16:08 pm



Título: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: Shaddy en 16 Junio 2009, 16:08 pm
Ahí envío un nuevo artículo sobre malware.

http://abssha.blogspot.com/2009/06/analisis-de-bifrost-v12-exahustivo.html

Un saludo.

Shaddy.


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: tena en 17 Junio 2009, 00:21 am
esplendido


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: Amerikano|Cls en 18 Junio 2009, 16:09 pm
He Shaddy por fin reactivaste el blog hee?, genial ahora lo leo y te digo  :), Felicitaciones por ello  :xD

salu2

EDITO: Lo he leido y simplemente genial lo que haces con esos bichos, como siempre Grande Shaddy sigue asi que la vida es corta  :P


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: karmany en 22 Junio 2009, 17:22 pm
Muy bueno... gracias.


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: karmany en 22 Junio 2009, 22:41 pm
Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: Shaddy en 23 Junio 2009, 01:02 am
Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...

Hola amigo :), pues normalmente la mayoría hacen así, en cuanto saque la II Parte ya verás que una vez exatraes el kernel del bicho lo demás es puro análisis, así que hay que ir pelando la cebollita hasta tener lo que queremos.

La segunda parte la he pausado por momentos pero la estoy retomando, por la espera os pego un trozo del índice para que se vea el contenido. Ésto es solamente la parte II, faltan la III y la IV xD... y el Anexo que es reparar la .dll.. así que me queda mucho por delante, de a poco como diría ricardo :).

Cita de: Bifrost Behavior Analisys Parte II
   2.2. Situational Awareness   
   2.2.1. Deshabilitando el Data Execution Prevention (DEP).
   2.2.2. Alternativa Windows NT 4 o inferiores.
   2.2.3. Altermativa Windows 2000/XP/Vista y comprobación de privilegios.
   2.2.4. Re-ejecución del server con parámetro (NT 4 o inferiores).
   2.3. Targeting and weaponering
   2.3.1. descifrado y extracción de configuración.
   2.3.2. Instalación en el Sistema Operativo.
   2.3.3. Creación de objeto Mutex.
   2.3.4. Comprobación de Antivirus.
   2.3.5. Loader de APIs virtualizadas.
   2.3.6. Apertura de explorer y Emulación de 64 Bit.
   2.3.7. Escritura remota de secciones y ejecución del hilo remoto.

Pero claro, como todo lo primero era extraer el kernel :).

Haber si puedo retomarlo que me queda muy poquito.

Un saludo!

Shaddy.

P.D: ¿Puedes enviarme una muestra con .rar/.zip con contraseña a mi correo de gmail? Gracias!


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: Nakp en 23 Junio 2009, 03:06 am
entiendo que seas el moderador.. pero por qué no hiciste un copy/paste con fuente en vez de dejar el link simplemente?

esto es spam? :silbar:


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: Shaddy en 23 Junio 2009, 08:58 am
entiendo que seas el moderador.. pero por qué no hiciste un copy/paste con fuente en vez de dejar el link simplemente?

esto es spam? :silbar:

Porque estaba haciendo 200.000 cosas, y no tenía ganas de copiarlo todo 20.000 veces... y a diferencia de algunos moderadores de otros lados, prefiero perder el tiempo escribiendo y en ing. inversa y en enseñar, que es lo que de verdad importa que no en tonterías sin sentido de spam o no spam. Si alguien quiere leerlo que se de una vuelta por la página, sino no lo lee y punto. Y eso no es hacer SPAM, porque yo no gano nada con que tu entres en mi página, y al no lucrarme me es indiferente.

¿Any Problem?


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: kraneos en 25 Agosto 2009, 13:37 pm
Nightmare,podrias decirme que puertos van bien para el Bifrost ^^


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: MCKSys Argentina en 25 Agosto 2009, 22:17 pm
Como siempre ShaDDy: Excelente!!

Espero la segunda parte!

Saludos!



Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: MazarD en 26 Agosto 2009, 01:00 am
Muy bueno! esperando la segunda parte...

Solo añadir que el primer mirror está caído

Saludos!


Título: Re: [Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA
Publicado por: LSL en 26 Agosto 2009, 11:36 am
impresionante el trabajo.