Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Programación => Ingeniería Inversa => Mensaje iniciado por: Иōҳ en 8 Mayo 2012, 18:39 PM

Título: Análisis de Malware VB
Publicado por: Иōҳ en 8 Mayo 2012, 18:39 PM
Hola.... tal vez digan hay un subforo para esto y si... pero aquí me siento más a gusto, además no tenemos que hacer ing. inversa para analizar malware? :P

Espero que no me muevan el post... hasta que el tutorial esté completo :P


Para los me conocen de cerca saben que ahora hago análisis de malware, pero como siempre el tema de malware en VB siempre es pesado, más para los que no programamos en dicho lenguaje.

Bien mi pregunta es esta que hace esta api:

__vbaVarLateMemCallLd

He googleado pero aún no lo tengo claro, aunque creo que no tiene relevancia en el análisis que estoy haciendo, (luego explicaré porque!) desearía saber sobre esta api, ya que para otra oportunidad no tendría problemas.

pd: ya iré documentando lo que encuentre hasta formar un tute :P

Saludos,
Nox.
Título: Re: Análisis de Malware VB
Publicado por: MCKSys Argentina en 8 Mayo 2012, 22:51 PM
Por lo que asocio: vbaVarLateMemCallLd = VBA Variable Late Memory Call Load/er

Por lo que recuerdo: Podria usarse para cargar objetos OCX en runtime. Tambien podria ser para cargar/inicializar objetos/clases que estan dentro de un OCX (un OCX puede tener varios objetos/controles)

Si recuerdo algo mas, aviso...
Título: Re: Análisis de Malware VB
Publicado por: Иōҳ en 8 Mayo 2012, 23:04 PM
uhm... pues cuando llego ahí... y paso con F8...  FLOAT INEXACT RESULT, según leí es "normal" que pase esto con los vb, pero creo que hay algo en el malware que me hace pensar que está hecho a propósito, ya  estoy terminando de documentar lo que he visto, cuando lo termine posteo... haber si me hechas un cable Fly! o el que pueda jejeje.



Saludos,
Nox.
Título: Re: Análisis de Malware VB
Publicado por: Иōҳ en 9 Mayo 2012, 00:35 AM
Para que el post no sea sumamente largo, documenté lo que había visto en doc.

http://www.mediafire.com/download.php?bcuh53jmurxj2x1

A ver si alguien reconoce algo :D.

pd: el que desea la muestra que me mande un MP o que chifle y se lo mando :P

Saludos,
Nox.
Título: Re: Análisis de Malware VB
Publicado por: x64core en 9 Mayo 2012, 23:02 PM
yo quiero una muestra :D gracias
Título: Re: Análisis de Malware VB
Publicado por: Иōҳ en 9 Mayo 2012, 23:45 PM
Vaya el curro me tiene sin tiempo, justo cuando iba por la mejor parte, me piden que hagan unas cosas... veré si hoy lo termino, si no, ya mañana lo miraré...

Saludos.
Título: Re: Análisis de Malware VB
Publicado por: Иōҳ en 10 Mayo 2012, 17:28 PM
Alguna idea de que hace rtcAnsiValueBstr?


Según lo que vi cuando le pasaba un carácter 41h = 'A'
me devolvía en EAX = 41, pero esta vez el valor ocupa dos bytes como sigue -->

Le pasaron como parámetro 0192h y me devolvió 83h

EAX = [ADDR] = 192h

Código (asm) [Seleccionar]
push eax
call rtcAnsiValueBstr

EAX = 83h

Alguien sabe el por qué?

Saludos,
Nox.

Título: Re: Análisis de Malware VB
Publicado por: MCKSys Argentina en 10 Mayo 2012, 20:07 PM
Creo que el Bstr corresponde a algo asi como una cadena UNICODE, que son las usadas internamente por VB.

Normalmente lo usarian para convertir valores ascii en chars y asi poder concatenarlos despues...
Sólo texto | Texto con Imágenes