|
Título: Spreader Facebook. Publicado por: Elemental Code en 20 Diciembre 2010, 23:49 pm Hola.
Estaba en faisbuc como siempre al re pedo cuando me mandan esto: "Foto http://www.facebook.com/l.php?u=www.acoplasticos.org/crm" entro en acroplasticos y me encuentro con un site igualito a Facebook pero con un boton que dice que para ver la foto necesito bajarla. OBVIAMENTE baja un archivo EXE que NO abri. :P lo que me sorprendio es que funcionase por FB. http://acoplasticos.org/crm/ es el sitio y me sorprendio que la home te direcciona a un supuesto sitio de nosequepolimero colombiano :S Analizen si quieren sino ... no :P EDITO: Lo meti en una sandbox: http://camas.comodo.com/cgi-bin/submit?file=0c0be56c272d47e79daa8ae55bd39ed35589549a7b55176f5b764d359ae33edf Se hace pasar por drives de nvidia Título: Re: Spreader Facebook. Publicado por: MCKSys Argentina en 21 Diciembre 2010, 02:26 am Lo mire rapido y basicamente es algo asi:
1) Tiene un funcion para cragar las APIS. 2) Tiene otra funcion para descifrar informacion. 3) Una vez que carga las APIs, ejecuta "NET STOP" + 0x09 + 0x09 4) Usa CreateProcess para ejecutarse nuevamente, pero suspendido 5) Parchea el EXE ejecutado con WriteProcessMemory. 6) Resume la ejecucion con ResumeThread. 7) En medio hay un SetThreadContext que no mire mucho. La idea seria reconstruir el EXE en disco, fijandose que parchea con WriteProcessMemory y despues pasarle IDA... Eso es todo lo que pude ver por ahora... :) Saludos! |