 Autor
|
Tema: Comradex Crypter Fud By dr.fan0 (Leído 7,569 veces)
|
|
|
skapunky
Electronik Engineer &
Colaborador
 Desconectado
Mensajes: 3.667
www.killtrojan.net
|
Pregunta interesante... porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar. 
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
alister
Desconectado
Mensajes: 513
|
Pregunta interesante... porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar. yo ya no se ni como tienes la paciencia, ni por que te tomas la molestia... jajajaja
|
|
|
|
|
En línea
|
Back 2 business!
|
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio.
Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará.
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
alister
Desconectado
Mensajes: 513
|
La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio.
Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará.
si, ya he presenciado algun episodio sorprendente con r32. comparto la preocupacion por el tema, me parece fatal lo que hacen algunos users aprovechando la excusa. lo que no sé es como no os cansais del tema y empezais a denegar este tipo de enlaces por sistema  gracias por estar atento y por el aviso
|
|
|
|
|
En línea
|
Back 2 business!
|
|
|
|
r32
|
Anubis no detectó conexiones, si el uso de la librería: IDA:   PE Explorer:  Crea el proceso svchost:  Estoy buscando algun timer o similar, algo no cuadra, bueno si que prefiero aprender a programarme uno que usar ese. Editado: En Indetectables no han dicho nada, incluso tienen su propio foro (comradex.co), voy a registrarme a ver que veo. Saludos. |
|
|
|
« Última modificación: 10 Febrero 2013, 02:00 am por r32 »
|
En línea
|
|
|
|
alister
Desconectado
Mensajes: 513
|
en indetectables pueden hacer el pino puente con el si quieren.
despues de todo, a veces los amiguismos son los peores errores de vulnerabilidad del mundo xD
pero tú has puesto bastantes indicios encima de la mesa como para no usarlo.
PD: por aprender yo: estais analizando un ejecutable dummy cifrado con el crypter, o directamente el stub + el crypter?
|
|
|
|
« Última modificación: 10 Febrero 2013, 02:11 am por alist3r »
|
En línea
|
Back 2 business!
|
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro). En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis) MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184
Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro.Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia: Post original presentando el crypterAhora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí. |
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
alister
Desconectado
Mensajes: 513
|
El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro). En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis) MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184
Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro.Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia: Post original presentando el crypterAhora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí. hipotesis: el cutre foro ha hecho cutre travesuras
|
|
|
|
|
En línea
|
Back 2 business!
|
|
|
|
r32
|
Que hacemos entonces, eliminamos el tema? Esto lo saqué con BSA: [ General information ]
* File name: c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe
[ Changes to filesystem ]
* Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\drwtsn32.log
* Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp
* Modifies file C:\Documents and Settings\r32\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat
[ Changes to registry ]
* Modifies value "NumberOfCrashes=00000003" in key HKEY_LOCAL_MACHINE\software\microsoft\DrWatson
old value "NumberOfCrashes=00000002"
* Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
old value empty
* Modifies value "SavedLegacySettings=46000000CC0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
old value "SavedLegacySettings=46000000CB0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000"
[ Network services ]
* Looks for an Internet connection.
[ Process/window/string information ]
* Enables process privileges.
* Gets user name information.
* Gets system default language ID.
* Gets computer name.
* Checks for debuggers.
* Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
* Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
* Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
* Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
* Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
* Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
* Creates process "C:\WINDOWS\system32\svchost.exe,(null),(null)".
* Injects code into process "c:\windows\system32\svchost.exe".
* Enumerates running processes.
* Injects code into process "c:\windows\system32\dwwin.exe".
* Creates a mutex "SHIMLIB_LOG_MUTEX".
* Creates a mutex "Local\_!MSFTHISTORY!_".
* Creates a mutex "Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!".
* Creates a mutex "Local\c:!documents and settings!r32!cookies!".
* Creates a mutex "Local\c:!documents and settings!r32!configuración local!historial!history.ie5!".
* Creates a mutex "RasPbFile".
* Opens a service named "RASMAN".
* Lists all entry names in a remote access phone book.
* Opens a service named "Sens".
* Creates a mutex "MSCTF.Shared.MUTEX.EBH".
* Creates process "(null),C:\WINDOWS\system32\drwtsn32 -p 1796 -e 340 -g,(null)".
* Injects code into process "c:\windows\system32\drwtsn32.exe".
* Creates an event named "DbgEngEvent_00000070".
* Injects code into process "c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe".
* Terminates process "à?¤\dee\harskvol1\do".
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Crypter
Programación Visual Basic
|
CamaleonB
|
8
|
5,444
|
15 Enero 2008, 17:50 pm
por ~~
|
|
|
[SRC][C++] EPI Crypter 1.0
« 1 2 »
Programación C/C++
|
E.P.I.
|
17
|
13,112
|
26 Octubre 2011, 19:10 pm
por Shamaroot
|
|
|
|
crypter en vb
Análisis y Diseño de Malware
|
egiptoelcairo
|
7
|
7,479
|
26 Mayo 2010, 14:22 pm
por [L]ord [R]NA
|
|
|
|
Crypter y PE
Programación C/C++
|
xxxhack2010
|
2
|
3,169
|
16 Agosto 2010, 02:02 am
por Littlehorse
|
|
|
|
Crypter en vb6
Hacking
|
CAR3S?
|
7
|
6,859
|
14 Febrero 2011, 17:57 pm
por Garfield07
|
 |
