elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  virus ofuscado
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: virus ofuscado  (Leído 2,467 veces)
caterina2510

Desconectado Desconectado

Mensajes: 1


Ver Perfil
virus ofuscado
« en: 30 Mayo 2015, 18:53 pm »

tengo un virus ofuscado (que es el resultado de un xor con una secuencia de x bytes construida con una llave de 8 byte repetida varias veces)
la longitud del cuerpo del virus es un multiplo de 8.
conozco el cuerpo del virus no ofuscado.

Se que en un archivo infectado se encuentra la llave, el codigo del virus ofuscado y el loader de activacion del mismo, que si se invoca durante la ejecucion del archivo infectado, lee la llave, construye la secuencia de x bytes, la usa para extraer el virus e invocarlo.

como puedo averiguar si el virus aparece en un conjunto de archivos que se sospechan de estar infectados?


En línea

andavid


Desconectado Desconectado

Mensajes: 1.845


Lo que no me mata, me fortalece.


Ver Perfil WWW
Re: virus ofuscado
« Respuesta #1 en: 3 Junio 2015, 17:46 pm »

A menos que le hagas un reverse enginering lo monitorearia con un visor de eventos del registro.


En línea


MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: virus ofuscado
« Respuesta #2 en: 3 Junio 2015, 18:35 pm »

tengo un virus ofuscado (que es el resultado de un xor con una secuencia de x bytes construida con una llave de 8 byte repetida varias veces)
la longitud del cuerpo del virus es un multiplo de 8.
conozco el cuerpo del virus no ofuscado.

Se que en un archivo infectado se encuentra la llave, el codigo del virus ofuscado y el loader de activacion del mismo, que si se invoca durante la ejecucion del archivo infectado, lee la llave, construye la secuencia de x bytes, la usa para extraer el virus e invocarlo.

como puedo averiguar si el virus aparece en un conjunto de archivos que se sospechan de estar infectados?

El lugar donde guarda el código original cambia? O es siempre el mismo? Si es así (siempre el mismo) es muy sencillo saber si un archivo está infectado. Si lo guarda como overlay, más aún, pues normalmente los ejecutables que tienen overlay, tienen la firma digital en ese lugar. Ahora, si lo guarda en una sección, deberías ver si el lugar (offset) dentro de la misma es siempre el mismo o si cambia. Si es el mismo, es muy trivial ya que XOR es reversible. Si cambia, deberás bruteforcear de a 1 byte, hasta obtener el primer byte del virus. Si lo hallas, bruteforceas el siguiente byte hasta encontrar el siguiente byte original. Así con los 8. Luego usas la key sobre los 8 bytes siguientes y si coinciden con los originales, entonces está infectado. Sinó, no.  :P

Saludos!

PD: También puedes recorrer la sección ejecutable del programa para encontrar el código del loader, siempre y cuando sea el mismo siempre. Si es así, puedes crear una firma y detectarlo fácilmente en múltiples archivos (por ej. puedes crear una firma y usar PeID para escanear los archivos).
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Script Ofuscado
Scripting
index1993 2 3,088 Último mensaje 23 Marzo 2012, 17:34 pm
por index1993
malware ofuscado javascript
Nivel Web
daryo 0 2,160 Último mensaje 1 Julio 2013, 22:02 pm
por daryo
Decodificar Js ofuscado
Ingeniería Inversa
alvaroxd 8 7,203 Último mensaje 16 Diciembre 2013, 22:40 pm
por apuromafo CLS
Ayuda con código PHP ofuscado
Desarrollo Web
Snoosarp 8 3,087 Último mensaje 19 Abril 2017, 02:45 am
por Snoosarp
{FizzBuzz} Ofuscado en C.
Programación C/C++
GGZ 1 2,317 Último mensaje 29 Junio 2017, 07:36 am
por MAFUS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines