Spreader Facebook.

Iniciado por Elemental Code, 20 Diciembre 2010, 23:49 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Elemental Code

20 Diciembre 2010, 23:49 PM Ultima modificación: 21 Diciembre 2010, 00:18 AM por Elemental Code
Hola.
Estaba en faisbuc como siempre al re pedo cuando me mandan esto:

"Foto  http://www.facebook.com/l.php?u=www.acoplasticos.org/crm"


entro en acroplasticos y me encuentro con un site igualito a Facebook pero con un boton que dice que para ver la foto necesito bajarla.
OBVIAMENTE baja un archivo EXE que NO abri.  :P

lo que me sorprendio es que funcionase por FB.

http://acoplasticos.org/crm/ es el sitio y me sorprendio que la home te direcciona a un supuesto sitio de nosequepolimero colombiano :S

Analizen si quieren sino ... no :P

EDITO: Lo meti en una sandbox:
http://camas.comodo.com/cgi-bin/submit?file=0c0be56c272d47e79daa8ae55bd39ed35589549a7b55176f5b764d359ae33edf

Se hace pasar por drives de nvidia

I CODE FOR $$$
Programo por $$$
Hago tareas, trabajos para la facultad, lo que sea en VB6.0

Mis programas

MCKSys Argentina

#1
21 Diciembre 2010, 02:26 AM
Lo mire rapido y basicamente es algo asi:

1) Tiene un funcion para cragar las APIS.
2) Tiene otra funcion para descifrar informacion.
3) Una vez que carga las APIs, ejecuta "NET STOP" + 0x09 + 0x09
4) Usa CreateProcess para ejecutarse nuevamente, pero suspendido
5) Parchea el EXE ejecutado con WriteProcessMemory.
6) Resume la ejecucion con ResumeThread.
7) En medio hay un SetThreadContext que no mire mucho.

La idea seria reconstruir el EXE en disco, fijandose que parchea con WriteProcessMemory y despues pasarle IDA...

Eso es todo lo que pude ver por ahora... :)

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro
Imprimir
Ir Arriba Páginas1
Acciones del Usuario