Ayuda con este programa(virus)

Iniciado por Epinefrina, 27 Febrero 2009, 04:03 AM

0 Miembros y 1 Visitante están viendo este tema.

Epinefrina

Buenos dias ante todo ::) les cuento como empezo todo... ayer justo cuando estaba chateando en el messenger me aparecio un mensaje de un contacto, de esos tipicos virus que circulan hoy en dia por el msn (esos de visitaa tal pagina http://descargateestafotoqueenrealidadesunvirus), por lo general los ignoro o les informo que tienen un virus (segun quien sea la persona pero esto no viene al caso ;D), lo que sucede es que hoy me dieron ganas de ayudar a una de esas personas y bueno me descargue el virus para examinarlo (algunos me diran descargate un av, formatea la pc, dile que no sea tan tonto,etc) pero mas que todo para aprender, y necesito su orientacion ya que estoy muy novatillo en esto de la ingeniera inversa.

Bueno sucede que lo analize con el peid y me informa que esta hecho en borland delphi 6.0 - 7.0, pero para asegurarme lo analize despues con el RDG Packer Detector en modo M-B y me dice lo mismo borland delphi y NADA pero me salta la heuristica de este diciendo que es posible que este cifrado con un Open Source Code Crypter, luego trate de abrirlo con un decompiler para delphi y no se pudo abrir y me informo que posiblemente estaba cifrado, despues lo abri con el resource hacker(por probar nada mas) y lo abrio sin problemas pero no aparecia nada util, sucesivamente con el hexworkshop con la esperanza de conseguir alguna string,apis que usaba o informacion util y nadaa tampoco y finalmente lo abri con el olly y tambien lo abrio sin problemas y trate de buscar informacion util tambien y nada tampoco(seguro es por inexperiencia con este xD), como ultimo recurso (desesperado por asi decirlo) lo subi al scanner ese de Anubis http://anubis.iseclab.org/index.php y al parecer no lo puede analizar (no se si sera uno de esos crypters con anti-anubis posiblemente) en conclusion para no alargar mas esto creo que el archivo esta cifrado o quiza mis conocimientos no son suficientes para analizarlo, por lo tanto me encuentro "estancado" , y en caso que estuviese cifrado con un crypter "desconocido" como podria "desencriptarlo" manualmente por asi decirlo xD, me gustaria que alguno me orientara sobre que puedo hacer para lograr mis objetivos :P

El ejecutable es el siguiente(si alguien no leyo todo lo que escribi anteriormente esto ES UN VIRUS asi que tomen medidas preventivas antes de intentar hacer algo con el archivo :)) http://img5.nimageshack.info/myphp/image/MVC-Photo023.jpeg.zip

Shaddy

Hola Epinefrina,

La verdad es que yo me encuentro con cosas de esas todos los días, muchos contactos te envían lo típico de... ¿has visto que bien sales en ésta foto? y cosas de ese estilo... y lo cierto es que a no ser que específicamente me lo quiera enviar el contacto, de normal no les hago análisis porque suelen ser gusanos.

Una vez creo que miré por encima como funcionaba, pero ya ni me acuerdo, lo único que casualmente, casi siempre que envian eso el contacto en cuestión está desconectado, eso me da a pensar que a lo mejor consiguieron su password, y no se envía desde su ordenador en si... (es una posibilidad).

Si alguien me envía algo concretamente, como ya me ha pasado, de un troyano, virus etc, si que lo analizo y luego le doy una sorpresita. Pero en éstos casos no me ha dado por mirar.

En cualquiera de los casos deberías volver a subir el ejecutable, porque ya no está.

Salu2...
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Epinefrina

CitarHola Epinefrina,

La verdad es que yo me encuentro con cosas de esas todos los días, muchos contactos te envían lo típico de... ¿has visto que bien sales en ésta foto? y cosas de ese estilo... y lo cierto es que a no ser que específicamente me lo quiera enviar el contacto, de normal no les hago análisis porque suelen ser gusanos.

Y estas en lo correcto es uno de esos tipicos gusanos de msn :D

CitarUna vez creo que miré por encima como funcionaba, pero ya ni me acuerdo, lo único que casualmente, casi siempre que envian eso el contacto en cuestión está desconectado, eso me da a pensar que a lo mejor consiguieron su password, y no se envía desde su ordenador en si... (es una posibilidad).

Asi como lo dices es una posibilidad pero seria mas laborioso para distribuirlos masivamente, en fin seria mucho mas rapido si fuese el proceso automatizado(que es como yo creo que lo hace), ya sea manejando las apis del msn (puedes ver los contactos y buscar cual esta conectado y enviarle X mensaje), o quiza un simple findwindow y sendmessage, pero esto no es lo que estoy buscando, quiero buscar informacion sobre por ejemplo: a que parte del registro se añade y con que nombre, donde se copia asi mismo, cual es el nombre del proceso, si se puede matar con un simple taskkill y cosas asi. Quiza todo esto se puede hacer si tuviese una maquina virtual y le instalara uno de esos programas que sirven para seguir la actividad de otro ejecutable al ejecutarse pero no tengo una y bueno me quize ir por el camino de la ingenieria inversa ;D

CitarEn cualquiera de los casos deberías volver a subir el ejecutable, porque ya no está.

Salu2..

Es raro que ese link no exista, lo unico que se me ocurre es que quiza el archivo se cambia cada cierto tiempo de hosting o simplemente quisieron parar el gusano :huh:

Aqui les dejo el ejecutable:

http://rapidshare.com/files/203355871/MVC-Photo023.jpeg.zip.html

w32nytemare

#3

"W32.NyteMare V2 was here."

Is a string inside that executable, nice find.




Epinefrina

Citar"W32.NyteMare V2 was here."

Is a string inside that executable, nice find.

can you explain how did you get that? xD

buenoo aparte de esto nadie le ha hechado un ojo al ejecutable? :huh:

paciente!!

Cita de: Epinefrina en  3 Marzo 2009, 23:56 PM
Citar"W32.NyteMare V2 was here."

Is a string inside that executable, nice find.

can you explain how did you get that? xD

buenoo aparte de esto nadie le ha hechado un ojo al ejecutable? :huh:

Yo he buscado alguna herramienta pero me ha sido imposible. Tal vez por pesadez y ganas en saber otras cosas, pero no olvido este tema.

Estoy contigo, si alguien sabe de esto que diga algo. Es un tema muy interesante para poder protegerse un poco. Aunque algunos somos más éticos que otros, hay mucho mamoncete por ahí suelto. Ya he leido varios comentarios de expertos que están algo quemados con lo no-ético.

Un poco de control por favor.....

Saludos pacientes!!!

MikeNIke

It is encrypted with a packer based in delphi, this is why a few anti virus detect it is tr/delphi.gen. It includes multiple antis and jumps that will make it nearly imposable to decrypt unless you have code for the software used to encrypt it.

This specific executable is nonfunctional, if you use an app such as lordpe you will notice it has an very odd imagebase that renders it useless on most windows platforms (even if you arent in vm and you open it, it will not work!).

If you want to properly debug this type of worm you need to get a different sample that functions ie: will install/not crash on a non vm pc. As to the string, that is correct, and this is a special variant of slenfbot/(nytemare as the authors have coined it.)

Epinefrina

CitarYo he buscado alguna herramienta pero me ha sido imposible. Tal vez por pesadez y ganas en saber otras cosas, pero no olvido este tema.

Estoy contigo, si alguien sabe de esto que diga algo. Es un tema muy interesante para poder protegerse un poco. Aunque algunos somos más éticos que otros, hay mucho mamoncete por ahí suelto. Ya he leido varios comentarios de expertos que están algo quemados con lo no-ético.

Un poco de control por favor.....

Saludos pacientes!!!

Me alegra que haya gente interesada en esto, porque como tu dices es interesante saber examinar malware :D, pero al parecer esto esta como que muy avanzado (por lo menos para mi), seria bueno que alguien con mas conocimientos sobre el tema diera su opinion y avanzes sobre el ejecutable :rolleyes:

CitarIt is encrypted with a packer based in delphi, this is why a few anti virus detect it is tr/delphi.gen. It includes multiple antis and jumps that will make it nearly imposable to decrypt unless you have code for the software used to encrypt it.

i know that, but you know any way to bypass this protections?

CitarThis specific executable is nonfunctional, if you use an app such as lordpe you will notice it has an very odd imagebase that renders it useless on most windows platforms (even if you arent in vm and you open it, it will not work!).

rigth, i guess that happend for the crypter protecctions thats why i want to learn the way to pass those protections, and later i will be able to examine this executable using other tools like vmware, anubis, ollydbg, etc.

CitarIf you want to properly debug this type of worm you need to get a different sample that functions ie: will install/not crash on a non vm pc. As to the string, that is correct, and this is a special variant of slenfbot/(nytemare as the authors have coined

thanks for the information! ill try to get a sample of that "slenfbot";D

P.D: sorry if i made some mistakes writting this, my english is not very good xD

otra P.D: no se si responder mensajes en ingles va contra alguna regla del foro, si es asi me avisan ::)

paciente!!

Cita de: Epinefrina en  4 Marzo 2009, 22:46 PM
CitarYo he buscado alguna herramienta pero me ha sido imposible. Tal vez por pesadez y ganas en saber otras cosas, pero no olvido este tema.

Estoy contigo, si alguien sabe de esto que diga algo. Es un tema muy interesante para poder protegerse un poco. Aunque algunos somos más éticos que otros, hay mucho mamoncete por ahí suelto. Ya he leido varios comentarios de expertos que están algo quemados con lo no-ético.

Un poco de control por favor.....

Saludos pacientes!!!

Me alegra que haya gente interesada en esto, porque como tu dices es interesante saber examinar malware :D, pero al parecer esto esta como que muy avanzado (por lo menos para mi), seria bueno que alguien con mas conocimientos sobre el tema diera su opinion y avanzes sobre el ejecutable :rolleyes:

CitarIt is encrypted with a packer based in delphi, this is why a few anti virus detect it is tr/delphi.gen. It includes multiple antis and jumps that will make it nearly imposable to decrypt unless you have code for the software used to encrypt it.

i know that, but you know any way to bypass this protections?

CitarThis specific executable is nonfunctional, if you use an app such as lordpe you will notice it has an very odd imagebase that renders it useless on most windows platforms (even if you arent in vm and you open it, it will not work!).

rigth, i guess that happend for the crypter protecctions thats why i want to learn the way to pass those protections, and later i will be able to examine this executable using other tools like vmware, anubis, ollydbg, etc.

CitarIf you want to properly debug this type of worm you need to get a different sample that functions ie: will install/not crash on a non vm pc. As to the string, that is correct, and this is a special variant of slenfbot/(nytemare as the authors have coined

thanks for the information! ill try to get a sample of that "slenfbot";D

P.D: sorry if i made some mistakes writting this, my english is not very good xD

otra P.D: no se si responder mensajes en ingles va contra alguna regla del foro, si es así me avisan ::)

Quizás es una tontería lo que voy a decir, pero a lo mejor no es muy recomendable que se sepa hacer esto porque si no se acabaría el chollo del troyano de conexion inversa.... ;) Imagina que cada victima puede averiguar quién se le ha conectado... No hace mucha gracia, e?? quizás es por eso porque este tema no está tan hablado. A lo mejor me equivoco, e?? y nosotros dos estamos dando bandazos para un lado y para otro buscando eso. Yo he encontrado total commander y win32 intro. Eso si, todo en ingles y no he averiguado como funcionan, pero por algo muy nick es "paciente". Espero saberlo y ayudarnos.

Saludos pacientes!!

Karman

#9
para hacer ese tipo de cosas no es necesario la inyección, la inyección es solo un método de ocultamiento, para hacer los gusanos del msn no se necesita nada, más que leer la documentación del MSN y su interfaz COM: msgrua.h

http://msdn.microsoft.com/en-us/library/bb758812.aspx
http://msdn.microsoft.com/en-us/library/bb758726.aspx

ahora, el tema de detectarlo es simple, tiene que haber un ejecutable que lance la inyección... tienes que mirar en que procesos se inician con el sistema y más que seguro alguno de ellos es... hay otras variantes más complicadas... pero probá primero esa...

S2