Mensajes

Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog....

Solo quiero hacer algunas aclaraciones:

1- Si vez la fecha de mi post en el blog (12/10/2013) veras que es mas antigua que la del tuyo (16/10/2013)
2- Mi analisis "se supone" que tiene que ser "igual" que el tuyo ya que estamos hablando del mismo malware solo con unas ligeras modificaciones entre ellos. Vamos que si cualquier otro hace un estudio del script llegara a las mismas conclusiones que tu y no por eso vamos a decir que te lo "copio"
3- En mi respuesta comente acerca del hilo con tu analisis, hasta puse el link...no crees que si estuviera "robando" tu trabajo seria algo estupido hacer eso?
4- Siempre me a molestado eso de que te copien tu trabajo y te lo falsifiquen, por lo que me opongo a los que lo practican y por ende a practicarlo yo mismo, ademas, no tengo necesidad de eso, no sere ELITE, pero si se reversear, y mucho mas un simple script malware.

Saludos

Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link

http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/

Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual

http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html

Saludos

[Que es EMLExtractor?]

Un saludos amigos del foro
Bueno, pues hace unas semanas estaba revisando el foro y viendo este mensaje http://foro.elhacker.net/scripting/batch_extraer_adjunto_de_eml-t367772.0.html me dio la idea de hacerlo en C++, meterle una interfaz y...bueno hacer una pequeña aplicacion para este fin. Luego de unos dias salio esta pequeña aplicacion 

Que es EMLExtractor?
Es una aplicacion para encontrar todo tipo de ficheros adjuntos en archivos .eml. Puedes buscar tanto ficheros adjuntos como ficheros incrustados dentro del archivo de correo, dando la posibilidad de extraerlos a donde se desee.

Caracteristicas:
v0.1 Initial Release
-Funciona!
-Soporta la extraccion de cualquier tipo de archivos (*.txt, *.html, *.jpg, *.gif, *.zip, *.rar, etc)
-Compatible con ficheros .eml de varios gestores de correo

Bugs, ideas, etc
Para cualquiera de estas cosas puedes dejar un mensaje aqui mismo o contactarme por e-mail

LINK DESCARGA (Source Incluido): http://www.mediafire.com/file/dr997c59pitamwb/EMLExtractor_v0.1.rar

Saludos y ya saben 

[Serial Facil========]

Hola
Ya veo que MCKSys lo resolvio, felicidades amigo 
Igual solo hare unos apuntes de mi parte.

Serial Facil
========

Código (cpp) [Seleccionar] Expandir

for(int i = 0; i < strlen(serial); i++)
{
   val = serial[i] + 0xE0;
   strcat(serialfinal, val);
}

Name: Thunder
Serial: 13414815514E144145152

Nota: En esta parte del crackme hay un bug(al no ser que se haya echo conscientemente), cada vez que insertas un serial incorrecto, se acumulan las cadenas del serial correcto una a continuacion de la otra, ej: Serial correcto para nuestro name: 123
Si ponemos 4 veces un serial incorrecto el serial correcto ya no seria 123, sino 123123123123123, por lo que creo que se ha olvidado de limpiar la variable en cada intento y de ahi el bug.

Serial Dificil
=========
length = 20
Bit = ((((serial + 0x67 * 5) / 2) * 3) xor 0x19C) and 1

Tomando solo numeros por flojera podemos crearnos una tabla:
Tabla de Bits
==========
1234567890
0010001000

Ahora solo ubicamos los numeros para lograr la serie de bits correctos
Bits correctos = 00101000000010001000
Serial: 12343668901234567890

PD: Una ultima acotacion, pal cuida el idioma si?, muchas faltas de ortografia en los textos...(critica constructiva ). Por lo demas no ha estado mal, sigue por ese camino.
Un saludo a todos y...Tinkipinki te invito a que revises bien la parte facil para que veas que no era dificil sacar un serial valido para tu nick.

Hola
Las llamadas son hechas a funciones, si lo que quieres saber es cuales son las CALL's que llaman a una funcion determinada, lo puedes hacer en el Olly posicionandote en la primera instruccion de dicha funcion y presionando CTRL+R o con Clic derecho/Find references to/Selected command.
Tambien puedes hacer uso de esta opcion para saber en que partes del codigo son usadas alguna que otra variable local/global y el procedimiento es casi el mismo con la diferencia que deberias posicionarte en la dir del DUMP correspondiente
Saludos

Lo mas probable es que con algun script se pueda automatizar esa tarea (no se...no soy un script writer), quizas se tendria que revisar la IAT de cada modulo cargado y poner un LBP en sus respectivas direcciones. Tambien esta el tema de los modulos cargados en tiempo de ejecucion, que ya esto es otra historia, pues habria que trabajar con el resultado de LoadLibrary/A/W/Ex

Pues nada...que bueno que les gustó 
Gracias a todos

Hola, como lo prometido es deuda...aqui esta

hxxp://www.mediafire.com/file/spob6r4g8y92sel/Crackme4.By.MCKSysArgentina_Keygen.By.Thunder.rar

Saludos

Nombre: [ Thunder | CLS ]
Serial:     22494

En un par de dias subo el tute + keygen. La he pasado muy bien con el crackme, gracias MCKSys por este reto tan divertido. 
Saludos

[1-]

Hola, pues al final lo que hice fue lo siguiente...

1- Ejecutar el archivo con su aplicacion predeterminada (ShellExecuteEx)
2- Verificar el campo hProcess: if (hProcess != NULL) tenemos un handle
2.1 - Si no hay handle es que ya habia una instancia de la aplicacion encargada de abrir el archivo u otra razon, por lo que se marca el fichero para que sea borrado al reinicio del sistema (MoveFileEx con la bandera MOVEFILE_DELAY_UNTIL_REBOOT)
3- Esperar a que termine el hilo que abrio el archivo (WaitForSingleObject)
4- Borrar el archivo

La variante del uso del batch ya la habia visto por ahi, pero no me gusta mucho (aunque resuelve sin dudas el problema  )
Saludos