Mitos sobre los troyanos más utilizados

Iniciado por xoftfox, 17 Febrero 2012, 23:32 PM

0 Miembros y 1 Visitante están viendo este tema.

Иōҳ

Cita de: .:UND3R:. en 26 Febrero 2012, 18:21 PM
Me he leído la primera parte y por el momento no se comenta nada no se ve nada extraño, desgraciadamente no logro encontrar la parte #2


No existe la parte dos... como todos, lo que más falta es tiempo, y nunca se hizo la parte 2 =/.

Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

$Edu$


x64core

No creo que Shaddy haya hecho pruebas en una no oficial...
y escribi lo que estaba en el tuto eh! ( Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado )

.:UND3R:.

Cita de: RHL en 28 Febrero 2012, 01:20 AM
No creo que Shaddy haya hecho pruebas en una no oficial...
y escribi lo que estaba en el tuto eh! ( Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado )

En esa parte del tutorial se da a entender que efectivamente está infectado al ser un troyano y ser un servidor, cualquier servidor debe poseer un código malicioso que se encargue de establecer conexiones a un cliente remoto esperando acciones. Luego comenta que no se conecta a ningún lado es decir que no genera alguna conexión adicional hacia otro cliente distinto al configurado.

Cita de: Иōҳ en 27 Febrero 2012, 15:12 PM
No existe la parte dos... como todos, lo que más falta es tiempo, y nunca se hizo la parte 2 =/.

Nox.

Lo entiendo más que claro jaja

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

apuromafo CLS

#14
no hizo parte 2 porque uso inctrl (algo como sandiebox y fue muy claro pillar los datos)
antes de:
CitarAhí va recién salido del horno.

Ya llevaba la idea desde hace tiempo y de momento sale la parte 1... el archivo adjunto contiene.

"Bifrost_core.dll" -> .DLL con cabecera reparada y descomprimida (de UPX), y tabla IAT arreglada que contiene el núcleo del troyano.
"PE_Header.Bifrost_core.txt" -> Copia de la Información del PE Header de la librería que se crea en memoria.
"Server.exe_INFECTED" -> Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado).

En ésta parte se ve solamente hasta lo que es extraer la .dll de la memoria, en la segunda parte haré el análisis Estático con IDA (que tengo casi terminado) y escribiré el funcionamiento sobre como se Instala en el SO, Protocolos de comunicación, Desinstalación y Contra-Ataques que se puedan hacer...

Si hay alguien que le interese saber como reparé la .dll una vez volcada que me escriba al privado y haré una Parte III o un Anexo.

Un saludo.

Shaddy.




Citar2. Pues si os llegáis a infectar, habría que mirar...

Installation Report: server
Generated by InCtrl5, version 1.0.0.0
Install program: C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe
6/13/2009 11:02 PM

------------------------------------------------------------
Registry
********

Keys ignored: 0
---------------
* (none)

Keys added: 5
-------------
HKEY_CURRENT_USER\Software\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo

Values added: 4
---------------
HKEY_CURRENT_USER\Software\Bifrost "klg"
Type: REG_BINARY
Data:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe"
Type: REG_SZ
Data: server
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost "nck"
Type: REG_BINARY
Data: ED, 1B, E6, 27, B9, 28, D6, 32, 74, C3, CD, 74, FA, 93, 5B, 67
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s

Values deleted: 2
-----------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}

Values changed: 5
-----------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG "Seed"
Old type: REG_BINARY
New type: REG_BINARY
Old data: EA, 91, EB, 59, D0, 7B, 42, 9D, 7E, 74, D6, 3A, 4F, FE, 8B, 98, BE, 41, 20, 27, 79, 90, F6, 07, EA, E3, 1B, 18, 10, 27, 0B, DB, B6, CE, 9A, F8, 6F, C5, BC, 51, 9D, 2F, 31, F5, 3B, 01, BB, 7C, 4A, 4E, F3, E0, 5B, B4, 60, 23, B1, 92, 81, 69, 06, 1B, BB, B6, A5, F0, 27, 6A, 4B, 3F, 02, A4, 28, 36, 65, 2B, 02, B9, 55, B1
New data: 25, EB, 9A, 4B, 8C, A8, 16, EE, CC, AA, 04, 54, 97, 6D, 02, 3D, FA, BE, 72, 21, AA, 56, 2E, 8A, C1, 30, EA, 02, 43, E0, 61, AD, B1, 6F, E2, 27, 5A, AA, D5, E9, AB, A5, 8E, D7, 24, 3B, 93, FC, BB, C2, 27, 7B, 18, 6F, BC, CD, D6, 51, 70, 3B, 11, D6, 3E, F4, D3, D6, 60, 9C, 34, D4, 89, B1, 76, F5, E2, CE, C9, AB, B9, 4A
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
------------------------------------------------------------
Disk contents
*************

Drives tracked: 1
-----------------
* c:\

Folders added: 1
----------------
c:\Archivos de programa\Bifrost

Files added: 1
--------------
c:\Archivos de programa\Bifrost\server.exe
Date: 8/19/2004 5:42 PM
Size: 27.517 bytes

----

Eso es lo que hace x)..

Pero vamos, que es un bicho muy suavecito, además no conecta a ningún sitio.

Un saludo.

Shaddy.
Citarjoer, quería ponerla en negrita y no se ha puesto... otra vez.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s

Ahí es donde se instala, mediante clave ActiveX, si cierras IEXPLORE.EXE y borras esa clave y el server.exe ya no hay bicho ni nada.

Un saludo.

Shaddy.
CitarLo que he hecho hasta ahora, es ir sacando pieles de la "cebolla" que tiene por encima, hasta dar con la .dll, de ésta forma se puede analizar en IDA con comidad y hacer un análisis más completo y general... eso irá en la segunda parte :).

Un saludo.

Shaddy.
Citar16/09/09
si.. todavía tengo la parte II del bifrost ahí en el pendrive a medias xD

the_scar

Mas que mito, era como lo del 11m que algunas personas lo sabian y otras no y lo instalaban en una maquina virtual. Desconfía y acertaras, nadie da duros por cuatro pesetas, bueno si las ong (algunas) >:D
Hay tipos de personas las que conocen el sistema numérico sexagesimal y las que no.