Analisis de stub.dll con Java

Iniciado por rub'n, 16 Enero 2018, 15:30 PM

0 Miembros y 1 Visitante están viendo este tema.

colcrt

pero como lo detecta en tiempo de ejecución? o como hace para darse cuenta que es un malware?

MCKSys Argentina

Cita de: colcrt en 12 Febrero 2019, 00:08 AM
pero como lo detecta en tiempo de ejecución? o como hace para darse cuenta que es un malware?

Revisa ésto.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


rub'n

#12
Lee la info que da el jefe sobre, heuristica

Cita de: colcrt en 12 Febrero 2019, 00:08 AM
pero como lo detecta en tiempo de ejecución? o como hace para darse cuenta que es un malware?

dog, es un tipo de malware, malware es el concepto digamos abstracto, y el tipo es troyano, en este caso toco hacer un análisis estático(para no infectarnos), es decir sin ejecutar ese .dll o .jar en tal caso.

Teniendo conocimiento puedes, por ejemplo descifrar esos .class contenidos en ese stub.dll con python y cualquier otro lenguaje siempre que sepas lo que haces.

El tema aquí es ese stub.dll, el contiene los códigos fuentes aka (.class/bytecode) que se descomprimirán en memoria, método que en su tiempo permitía bypasear los Av o sea, era FUD(Fully undetectable).

Versiones de este troyano, son anti virtual machine, anti vmware, y mas , aquí muestro algunos .exe que este malware bloquea, que en realidad el codigo que ejecuta dichas acciones esta cifrado y es lo que el servidor descomprime aka (bytecode) para ejecutar dependiendo su configuración.




Al tu ver, que ese software hace modificaciones en el registro de Guindow$, realiza conexión vía SSL/TLS, bloquea antiviruz, y mas aun como por ejemplo


con eso recontra basta para no dudar de que sea un malware


rubn0x52.com KNOWLEDGE  SHOULD BE FREE!!!
If you don't have time to read, you don't have the time (or the tools) to write, Simple as that. Stephen