Mensajes

Te pregunto si es una plataforma conocida, porque simplemente podrías ir a ver el código si fuese, por ejemplo SMF.

Fijate si esto te ayuda
http://www.insidepro.com/hashes.php

Aham, y la cookie de dónde? Foro? Página? Supongo que debe de ser de un login...

Está en C++. El cifrado es un XOR que hice yo, las cadenas no se pueden ver en el binario, pero en cuanto arranca el programa se descifran para poder trabajar con ella y se cargan en el stack.

Bueno, para empezar te pregunto: De donde lo sacaste??
Podés elegir el texto a cifrar??

La mayoría de los imports están hechas de manera dinámica y los strings que se le pasa a las funciones getprocaddress y getmodulehandle están cifrados.
Contame de esos caminos alternativos...
Para mi está detectando cosas como que por ejemplo se instala como servicio, o que modifica el registro.

PD: probé AVDevil y también ZeroDetection pero ninguno me dió buen resultado, estoy tratando de hacerlo pasar contra el F-Protect utilizando el Coranti, que es un AV que tiene varios engines de AV en uno.

Eso es todo un hash? son varios??
De donde lo sacaste??

Okay, tranqui che, estoy aprendiendo. Y funciona perfectamente con los procesos de 32 bits.
Explicame como es eso de inyectar el array de 64 bits. Y como harían las personas "no perezosas"?

No, el 0x00000000 (8 ceros porque es una dirección de 32 bits) es un error, no se puede acceder a esa dirección de memoria. Es por eso que crasheaba el programa.

La qué??? Version info??

Si, tengo, me saltan estas:
BitDefender    Gen:Trojan.Heur.RP.huW@auQStQj
DrWeb    MULDROP.Trojan
Emsisoft    Gen:Trojan.Heur.RP.huW@auQStQj (B)
F-Secure    Gen:Trojan.Heur.RP.huW@auQStQj
GData    Gen:Trojan.Heur.RP.huW@auQStQj
MicroWorld-eScan    Gen:Trojan.Heur.RP.huW@auQStQj
Symantec    Suspicious.Cloud.5

Osea, este es el que más salta, tiene un diseño modular el virus, este es el núcleo, el que menos quiero que se pueda detectar. Los otros tienen 1, 2, 0 y 5 detecciones.