Mensajes

[RDG Packer Detector]

Estaba viendo como analizar el código fuente de W32 Lechuck, me di cuenta de que tenia un packer.
Descargue una herramienta llamada RDG Packer Detector para saber cual era, y empezé a buscar un unpacker para verlo con el vbdecompiler. Encontré 2 versiones diferentes del unpacker (Usando la Wayback Machine):

http://web.archive.org/web/20160324132204/http://exetools.com/files/unpackers/win/unpetite.zip
http://web.archive.org/web/20160324132204/http://exetools.com/files/unpackers/win/enlarge1.zip

Pero ninguno de estos funcionó.

Alguien conoce algun otro unpacker?
Gracias de antemano.

Hola! Necesito ayuda. Quiero hacer un servidor SMTP para hacer pruebas con distintos tipos de malware, pero busque y no me funciono, estoy usando (de paso para probarlo) Windows Server 2000.
Alguna sugerencia? Gracias de antemano.

EDIT: Quiero usarlo en Outlook Express

PD: Puse el tema aqui ya que voy a usar este servidor para analizar como funcionan distintos virus

por qué vb6? es decir, se supone que es un lenguaje que murió con windows xp y no tiene un soporte real desde windows vista, existe la suite .net que est adaptada a las necesidades actuales con las compatibilidades necesarias con windows e incluso en muchos aspectos con linux

Es que me siento cómodo trabajando en vb6.
Ademas, el virus melting screen está hecho en vb6

[melting screen]

Una pregunta: ¿Conocen alguna manera de hacer un efecto de pantalla goteando como el virus melting screen en vb6? Quiero saber cómo funciona

Saludos de antemano
Pd: Intenté decompilar el virus melting screen pero fue en vano

De momento no encontre a SoBig en ninguno de los links
Pero gracias de todas formas
Si alguien más tiene algun link se lo agradeceria


Seguiré buscando

Hola, tienes varias alternativas...
Te adjunto algunos enlaces para descargar malware antiguo y algo más nuevos:

https://app.any.run/#register
http://vxvault.net/ViriList.php
https://cape.contextis.com/analysis/
http://contagiodump.blogspot.com/
https://dasmalwerk.eu/
http://hosts-file.net/?s=Download
https://www.kernelmode.info/forum/viewforum.php?f=16
http://malc0de.com/database/
https://malshare.com/
https://avcaesar.malware.lu/
https://thezoo.morirt.com/
http://www.malwaredomainlist.com/mdl.php
https://malwr.com/
https://objective-see.com/malware.html --> Mac OS
https://packettotal.com/malware-archive.html
https://urlhaus.abuse.ch/browse/
https://beta.virusbay.io/sample/browse
https://www.virussign.com/downloads.html
https://virusshare.com/
https://www.virustotal.com/gui/home/search

En la mayoría necesitaras registrarte para que te den acceso, pero eso no supone problema alguno.
Con ésto tienes para entretenerte un buen rato, a ver si se anima algún usuario más y postea más servicios donde encontrar muestras frescas y antiguas.

Un saludo.

Gracias. Veré si encuentro aquí a SoBig

[Sobig.A]

Alguien puede decirme alguna página de malware de virus antiguos?

Estoy buscando un virus llamado Sobig.A, además de otros virus.

Cualquier ayuda es bien recibida

[infected]

Hola, desde aquí podrás ver los cambios que efectúa en el sistema:

https://app.any.run/tasks/b34befbf-1324-4e16-8b6c-807278d4564b/

Aquí te dejo un mirror para que lo puedas descargar:

https://mega.nz/#!SnwgzK5R!c4uJEF_yrb5T9t7_-mUhMw2qV-5S29JWckHLbO2izvM

La contraseña para descomprimir es infected, luego solo tienes que añadirle extensión de ejecutable (.exe).

Muchisimas gracias!!! No sabes por cuanto tiempo lo busque.

Solo por curiosidad: de donde lo sacaste?

Tu codigo funciona sin problemas, lo mas probable es que estes teniendo problemas de cache, de ahi que tu peticion no reciba datos actualizados del server. Aqui puedes intentar varias cosas

1- Intenta añadir un parametro aleatorio a tu url, no tiene que ser un parametro utilizable necesariamente, quizas algo como

Código (vb) [Seleccionar] Expandir

Randomize
url = "http://*****.tk/btnet/cmdint.php&dummy=" & Rnd

solo para forzar una nueva version de la web

2- Intenta especificando los headers de tu peticion

Código (vb) [Seleccionar] Expandir

rl = "http://*****.tk/btnet/cmdint.php"
http.open "GET", url, False
http.setRequestHeader "pragma", "no-cache"
http.setRequestHeader "Cache-Control", "no-cache, no-store"
http.send

3- No estoy seguro si XmlHttp usa los settings de ie, por si acaso desactiva la cache de paginas de ie

4- Usa WinHTTP en lugar de XmlHTTP ya que segun microsoft WinHTTP no implementa cache o cookies
https://docs.microsoft.com/en-us/windows/win32/winhttp/about-winhttp?redirectedfrom=MSDN

Suerte

Gracias, me funcionó cambiarlo a WinHTTP, 

He encontrado un link, pero está caído .

¿Has probado con lás páginas de malware? , igual lo tienen ahí.

Investigué muchos pero no encontre ni rastros de LeChucK  

Me recomendarías alguna página?