Muy bonitas las fotos! me recordaron que tengo años sin ir a merida xD
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Páginas1
#2
Programación Visual Basic / Re: win32 api programming
5 Marzo 2009, 01:42 AMCitartry this not my upload
http://rapidshare.com/files/133729134/win32_api_programming_with_visual_basic.rar
thanks!
#3
Ingeniería Inversa / Re: Ayuda con este programa(virus)
4 Marzo 2009, 22:46 PMCitarYo he buscado alguna herramienta pero me ha sido imposible. Tal vez por pesadez y ganas en saber otras cosas, pero no olvido este tema.
Estoy contigo, si alguien sabe de esto que diga algo. Es un tema muy interesante para poder protegerse un poco. Aunque algunos somos más éticos que otros, hay mucho mamoncete por ahí suelto. Ya he leido varios comentarios de expertos que están algo quemados con lo no-ético.
Un poco de control por favor.....
Saludos pacientes!!!
Me alegra que haya gente interesada en esto, porque como tu dices es interesante saber examinar malware
, pero al parecer esto esta como que muy avanzado (por lo menos para mi), seria bueno que alguien con mas conocimientos sobre el tema diera su opinion y avanzes sobre el ejecutable 
CitarIt is encrypted with a packer based in delphi, this is why a few anti virus detect it is tr/delphi.gen. It includes multiple antis and jumps that will make it nearly imposable to decrypt unless you have code for the software used to encrypt it.
i know that, but you know any way to bypass this protections?
CitarThis specific executable is nonfunctional, if you use an app such as lordpe you will notice it has an very odd imagebase that renders it useless on most windows platforms (even if you arent in vm and you open it, it will not work!).
rigth, i guess that happend for the crypter protecctions thats why i want to learn the way to pass those protections, and later i will be able to examine this executable using other tools like vmware, anubis, ollydbg, etc.
CitarIf you want to properly debug this type of worm you need to get a different sample that functions ie: will install/not crash on a non vm pc. As to the string, that is correct, and this is a special variant of slenfbot/(nytemare as the authors have coined
thanks for the information! ill try to get a sample of that "slenfbot"
P.D: sorry if i made some mistakes writting this, my english is not very good xD
otra P.D: no se si responder mensajes en ingles va contra alguna regla del foro, si es asi me avisan
#4
Programación Visual Basic / Re: win32 api programming
4 Marzo 2009, 02:01 AM
disculpen por revivir este tema tan viejo pero el link no sirve ya xD alguien no tiene este libro?? que tengo ganas de hecharle un ojo
#5
Ingeniería Inversa / Re: Ayuda con este programa(virus)
3 Marzo 2009, 23:56 PMCitar"W32.NyteMare V2 was here."
Is a string inside that executable, nice find.
can you explain how did you get that? xD
buenoo aparte de esto nadie le ha hechado un ojo al ejecutable?
#6
Ingeniería Inversa / Re: Ayuda con este programa(virus)
27 Febrero 2009, 23:01 PMCitarHola Epinefrina,
La verdad es que yo me encuentro con cosas de esas todos los días, muchos contactos te envían lo típico de... ¿has visto que bien sales en ésta foto? y cosas de ese estilo... y lo cierto es que a no ser que específicamente me lo quiera enviar el contacto, de normal no les hago análisis porque suelen ser gusanos.
Y estas en lo correcto es uno de esos tipicos gusanos de msn
CitarUna vez creo que miré por encima como funcionaba, pero ya ni me acuerdo, lo único que casualmente, casi siempre que envian eso el contacto en cuestión está desconectado, eso me da a pensar que a lo mejor consiguieron su password, y no se envía desde su ordenador en si... (es una posibilidad).
Asi como lo dices es una posibilidad pero seria mas laborioso para distribuirlos masivamente, en fin seria mucho mas rapido si fuese el proceso automatizado(que es como yo creo que lo hace), ya sea manejando las apis del msn (puedes ver los contactos y buscar cual esta conectado y enviarle X mensaje), o quiza un simple findwindow y sendmessage, pero esto no es lo que estoy buscando, quiero buscar informacion sobre por ejemplo: a que parte del registro se añade y con que nombre, donde se copia asi mismo, cual es el nombre del proceso, si se puede matar con un simple taskkill y cosas asi. Quiza todo esto se puede hacer si tuviese una maquina virtual y le instalara uno de esos programas que sirven para seguir la actividad de otro ejecutable al ejecutarse pero no tengo una y bueno me quize ir por el camino de la ingenieria inversa
CitarEn cualquiera de los casos deberías volver a subir el ejecutable, porque ya no está.
Salu2..
Es raro que ese link no exista, lo unico que se me ocurre es que quiza el archivo se cambia cada cierto tiempo de hosting o simplemente quisieron parar el gusano
Aqui les dejo el ejecutable:
http://rapidshare.com/files/203355871/MVC-Photo023.jpeg.zip.html
#7
Ingeniería Inversa / Ayuda con este programa(virus)
27 Febrero 2009, 04:03 AM
Buenos dias ante todo les cuento como empezo todo... ayer justo cuando estaba chateando en el messenger me aparecio un mensaje de un contacto, de esos tipicos virus que circulan hoy en dia por el msn (esos de visitaa tal pagina http://descargateestafotoqueenrealidadesunvirus), por lo general los ignoro o les informo que tienen un virus (segun quien sea la persona pero esto no viene al caso ), lo que sucede es que hoy me dieron ganas de ayudar a una de esas personas y bueno me descargue el virus para examinarlo (algunos me diran descargate un av, formatea la pc, dile que no sea tan tonto,etc) pero mas que todo para aprender, y necesito su orientacion ya que estoy muy novatillo en esto de la ingeniera inversa.
Bueno sucede que lo analize con el peid y me informa que esta hecho en borland delphi 6.0 - 7.0, pero para asegurarme lo analize despues con el RDG Packer Detector en modo M-B y me dice lo mismo borland delphi y NADA pero me salta la heuristica de este diciendo que es posible que este cifrado con un Open Source Code Crypter, luego trate de abrirlo con un decompiler para delphi y no se pudo abrir y me informo que posiblemente estaba cifrado, despues lo abri con el resource hacker(por probar nada mas) y lo abrio sin problemas pero no aparecia nada util, sucesivamente con el hexworkshop con la esperanza de conseguir alguna string,apis que usaba o informacion util y nadaa tampoco y finalmente lo abri con el olly y tambien lo abrio sin problemas y trate de buscar informacion util tambien y nada tampoco(seguro es por inexperiencia con este xD), como ultimo recurso (desesperado por asi decirlo) lo subi al scanner ese de Anubis http://anubis.iseclab.org/index.php y al parecer no lo puede analizar (no se si sera uno de esos crypters con anti-anubis posiblemente) en conclusion para no alargar mas esto creo que el archivo esta cifrado o quiza mis conocimientos no son suficientes para analizarlo, por lo tanto me encuentro "estancado" , y en caso que estuviese cifrado con un crypter "desconocido" como podria "desencriptarlo" manualmente por asi decirlo xD, me gustaria que alguno me orientara sobre que puedo hacer para lograr mis objetivos
El ejecutable es el siguiente(si alguien no leyo todo lo que escribi anteriormente esto ES UN VIRUS asi que tomen medidas preventivas antes de intentar hacer algo con el archivo
) http://img5.nimageshack.info/myphp/image/MVC-Photo023.jpeg.zip
les cuento como empezo todo... ayer justo cuando estaba chateando en el messenger me aparecio un mensaje de un contacto, de esos tipicos virus que circulan hoy en dia por el msn (esos de visitaa tal pagina http://descargateestafotoqueenrealidadesunvirus), por lo general los ignoro o les informo que tienen un virus (segun quien sea la persona pero esto no viene al caso ), lo que sucede es que hoy me dieron ganas de ayudar a una de esas personas y bueno me descargue el virus para examinarlo (algunos me diran descargate un av, formatea la pc, dile que no sea tan tonto,etc) pero mas que todo para aprender, y necesito su orientacion ya que estoy muy novatillo en esto de la ingeniera inversa.Bueno sucede que lo analize con el peid y me informa que esta hecho en borland delphi 6.0 - 7.0, pero para asegurarme lo analize despues con el RDG Packer Detector en modo M-B y me dice lo mismo borland delphi y NADA pero me salta la heuristica de este diciendo que es posible que este cifrado con un Open Source Code Crypter, luego trate de abrirlo con un decompiler para delphi y no se pudo abrir y me informo que posiblemente estaba cifrado, despues lo abri con el resource hacker(por probar nada mas) y lo abrio sin problemas pero no aparecia nada util, sucesivamente con el hexworkshop con la esperanza de conseguir alguna string,apis que usaba o informacion util y nadaa tampoco y finalmente lo abri con el olly y tambien lo abrio sin problemas y trate de buscar informacion util tambien y nada tampoco(seguro es por inexperiencia con este xD), como ultimo recurso (desesperado por asi decirlo) lo subi al scanner ese de Anubis http://anubis.iseclab.org/index.php y al parecer no lo puede analizar (no se si sera uno de esos crypters con anti-anubis posiblemente) en conclusion para no alargar mas esto creo que el archivo esta cifrado o quiza mis conocimientos no son suficientes para analizarlo, por lo tanto me encuentro "estancado" , y en caso que estuviese cifrado con un crypter "desconocido" como podria "desencriptarlo" manualmente por asi decirlo xD, me gustaria que alguno me orientara sobre que puedo hacer para lograr mis objetivos
El ejecutable es el siguiente(si alguien no leyo todo lo que escribi anteriormente esto ES UN VIRUS asi que tomen medidas preventivas antes de intentar hacer algo con el archivo
) http://img5.nimageshack.info/myphp/image/MVC-Photo023.jpeg.zip
Páginas1