[Malware] Análisis de Bifrost v1.2 Exahustivo Parte #1 - AbsshA

Iniciado por Shaddy, 16 Junio 2009, 16:08 PM

0 Miembros y 1 Visitante están viendo este tema.

Shaddy

"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com


Amerikano|Cls

#2
He Shaddy por fin reactivaste el blog hee?, genial ahora lo leo y te digo  :), Felicitaciones por ello  :xD

salu2

EDITO: Lo he leido y simplemente genial lo que haces con esos bichos, como siempre Grande Shaddy sigue asi que la vida es corta  :P




Mi blog:
http://amerikanocls.blogspot.com

karmany


karmany

Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...

Shaddy

Cita de: karmany en 22 Junio 2009, 22:41 PM
Me ha parecido muy interesante. La verdad que el tema de analizar virus, malware etc... es impresionante aunque pueda resultar a veces agobiante por el trabajo que puede acarrear.

Yo quería comentar que hace sólo una semana, en mi Windows XP original con SP3, con NOD32 actualizado, con ZoneAlarm actualizado y con Ad-Watch en ejecución se me coló uno de los peores virus que he visto: VIRUT. La verdad que la única solución fue formatear porque me infectó muchos archivos. Me resultó muy curioso y he estado tentado a analizarlo ahora en una máquina virtual, pero he desistido por falta de tiempo. Me parece muy interesante cómo y por dónde se ha podido colar este curioso virus que parece ser ya no afecta ni a Vista ni a W7.
Recuerdo que lo desensamblé y aparecía una simple API: FIndWindow pero rápidamente se introducía en un código ofuscado que no quise seguir...

Buen artículo...

Hola amigo :), pues normalmente la mayoría hacen así, en cuanto saque la II Parte ya verás que una vez exatraes el kernel del bicho lo demás es puro análisis, así que hay que ir pelando la cebollita hasta tener lo que queremos.

La segunda parte la he pausado por momentos pero la estoy retomando, por la espera os pego un trozo del índice para que se vea el contenido. Ésto es solamente la parte II, faltan la III y la IV xD... y el Anexo que es reparar la .dll.. así que me queda mucho por delante, de a poco como diría ricardo :).

Cita de: Bifrost Behavior Analisys Parte II
   2.2. Situational Awareness   
   2.2.1. Deshabilitando el Data Execution Prevention (DEP).
   2.2.2. Alternativa Windows NT 4 o inferiores.
   2.2.3. Altermativa Windows 2000/XP/Vista y comprobación de privilegios.
   2.2.4. Re-ejecución del server con parámetro (NT 4 o inferiores).
   2.3. Targeting and weaponering
   2.3.1. descifrado y extracción de configuración.
   2.3.2. Instalación en el Sistema Operativo.
   2.3.3. Creación de objeto Mutex.
   2.3.4. Comprobación de Antivirus.
   2.3.5. Loader de APIs virtualizadas.
   2.3.6. Apertura de explorer y Emulación de 64 Bit.
   2.3.7. Escritura remota de secciones y ejecución del hilo remoto.

Pero claro, como todo lo primero era extraer el kernel :).

Haber si puedo retomarlo que me queda muy poquito.

Un saludo!

Shaddy.

P.D: ¿Puedes enviarme una muestra con .rar/.zip con contraseña a mi correo de gmail? Gracias!
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Nakp

entiendo que seas el moderador.. pero por qué no hiciste un copy/paste con fuente en vez de dejar el link simplemente?

esto es spam? :silbar:
Ojo por ojo, y el mundo acabará ciego.

Shaddy

Cita de: Nakp en 23 Junio 2009, 03:06 AM
entiendo que seas el moderador.. pero por qué no hiciste un copy/paste con fuente en vez de dejar el link simplemente?

esto es spam? :silbar:

Porque estaba haciendo 200.000 cosas, y no tenía ganas de copiarlo todo 20.000 veces... y a diferencia de algunos moderadores de otros lados, prefiero perder el tiempo escribiendo y en ing. inversa y en enseñar, que es lo que de verdad importa que no en tonterías sin sentido de spam o no spam. Si alguien quiere leerlo que se de una vuelta por la página, sino no lo lee y punto. Y eso no es hacer SPAM, porque yo no gano nada con que tu entres en mi página, y al no lucrarme me es indiferente.

¿Any Problem?
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

kraneos

Nightmare,podrias decirme que puertos van bien para el Bifrost ^^

MCKSys Argentina

Como siempre ShaDDy: Excelente!!

Espero la segunda parte!

Saludos!

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."