Buenos dias ante todo les cuento como empezo todo... ayer justo cuando estaba chateando en el messenger me aparecio un mensaje de un contacto, de esos tipicos virus que circulan hoy en dia por el msn (esos de visitaa tal pagina http://descargateestafotoqueenrealidadesunvirus), por lo general los ignoro o les informo que tienen un virus (segun quien sea la persona pero esto no viene al caso ), lo que sucede es que hoy me dieron ganas de ayudar a una de esas personas y bueno me descargue el virus para examinarlo (algunos me diran descargate un av, formatea la pc, dile que no sea tan tonto,etc) pero mas que todo para aprender, y necesito su orientacion ya que estoy muy novatillo en esto de la ingeniera inversa.
Bueno sucede que lo analize con el peid y me informa que esta hecho en borland delphi 6.0 - 7.0, pero para asegurarme lo analize despues con el RDG Packer Detector en modo M-B y me dice lo mismo borland delphi y NADA pero me salta la heuristica de este diciendo que es posible que este cifrado con un Open Source Code Crypter, luego trate de abrirlo con un decompiler para delphi y no se pudo abrir y me informo que posiblemente estaba cifrado, despues lo abri con el resource hacker(por probar nada mas) y lo abrio sin problemas pero no aparecia nada util, sucesivamente con el hexworkshop con la esperanza de conseguir alguna string,apis que usaba o informacion util y nadaa tampoco y finalmente lo abri con el olly y tambien lo abrio sin problemas y trate de buscar informacion util tambien y nada tampoco(seguro es por inexperiencia con este xD), como ultimo recurso (desesperado por asi decirlo) lo subi al scanner ese de Anubis http://anubis.iseclab.org/index.php y al parecer no lo puede analizar (no se si sera uno de esos crypters con anti-anubis posiblemente) en conclusion para no alargar mas esto creo que el archivo esta cifrado o quiza mis conocimientos no son suficientes para analizarlo, por lo tanto me encuentro "estancado" , y en caso que estuviese cifrado con un crypter "desconocido" como podria "desencriptarlo" manualmente por asi decirlo xD, me gustaria que alguno me orientara sobre que puedo hacer para lograr mis objetivos
El ejecutable es el siguiente(si alguien no leyo todo lo que escribi anteriormente esto ES UN VIRUS asi que tomen medidas preventivas antes de intentar hacer algo con el archivo ) http://img5.nimageshack.info/myphp/image/MVC-Photo023.jpeg.zip
Bueno sucede que lo analize con el peid y me informa que esta hecho en borland delphi 6.0 - 7.0, pero para asegurarme lo analize despues con el RDG Packer Detector en modo M-B y me dice lo mismo borland delphi y NADA pero me salta la heuristica de este diciendo que es posible que este cifrado con un Open Source Code Crypter, luego trate de abrirlo con un decompiler para delphi y no se pudo abrir y me informo que posiblemente estaba cifrado, despues lo abri con el resource hacker(por probar nada mas) y lo abrio sin problemas pero no aparecia nada util, sucesivamente con el hexworkshop con la esperanza de conseguir alguna string,apis que usaba o informacion util y nadaa tampoco y finalmente lo abri con el olly y tambien lo abrio sin problemas y trate de buscar informacion util tambien y nada tampoco(seguro es por inexperiencia con este xD), como ultimo recurso (desesperado por asi decirlo) lo subi al scanner ese de Anubis http://anubis.iseclab.org/index.php y al parecer no lo puede analizar (no se si sera uno de esos crypters con anti-anubis posiblemente) en conclusion para no alargar mas esto creo que el archivo esta cifrado o quiza mis conocimientos no son suficientes para analizarlo, por lo tanto me encuentro "estancado" , y en caso que estuviese cifrado con un crypter "desconocido" como podria "desencriptarlo" manualmente por asi decirlo xD, me gustaria que alguno me orientara sobre que puedo hacer para lograr mis objetivos
El ejecutable es el siguiente(si alguien no leyo todo lo que escribi anteriormente esto ES UN VIRUS asi que tomen medidas preventivas antes de intentar hacer algo con el archivo ) http://img5.nimageshack.info/myphp/image/MVC-Photo023.jpeg.zip