Mostrar Mensajes

#851

Análisis y Diseño de Malware / Re: Mitos sobre los troyanos más utilizados

22 Marzo 2012, 04:04 AM

no hizo parte 2 porque uso inctrl (algo como sandiebox y fue muy claro pillar los datos)
antes de:

CitarAhí va recién salido del horno.

Ya llevaba la idea desde hace tiempo y de momento sale la parte 1... el archivo adjunto contiene.

"Bifrost_core.dll" -> .DLL con cabecera reparada y descomprimida (de UPX), y tabla IAT arreglada que contiene el núcleo del troyano.
"PE_Header.Bifrost_core.txt" -> Copia de la Información del PE Header de la librería que se crea en memoria.
"Server.exe_INFECTED" -> Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado).

En ésta parte se ve solamente hasta lo que es extraer la .dll de la memoria, en la segunda parte haré el análisis Estático con IDA (que tengo casi terminado) y escribiré el funcionamiento sobre como se Instala en el SO, Protocolos de comunicación, Desinstalación y Contra-Ataques que se puedan hacer...

Si hay alguien que le interese saber como reparé la .dll una vez volcada que me escriba al privado y haré una Parte III o un Anexo.

Un saludo.

Shaddy.

Citar2. Pues si os llegáis a infectar, habría que mirar...

Installation Report: server
Generated by InCtrl5, version 1.0.0.0
Install program: C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe
6/13/2009 11:02 PM

------------------------------------------------------------
Registry
********

Keys ignored: 0
---------------
* (none)

Keys added: 5
-------------
HKEY_CURRENT_USER\Software\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo

Values added: 4
---------------
HKEY_CURRENT_USER\Software\Bifrost "klg"
Type: REG_BINARY
Data:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe"
Type: REG_SZ
Data: server
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost "nck"
Type: REG_BINARY
Data: ED, 1B, E6, 27, B9, 28, D6, 32, 74, C3, CD, 74, FA, 93, 5B, 67
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s

Values deleted: 2
-----------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}

Values changed: 5
-----------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG "Seed"
Old type: REG_BINARY
New type: REG_BINARY
Old data: EA, 91, EB, 59, D0, 7B, 42, 9D, 7E, 74, D6, 3A, 4F, FE, 8B, 98, BE, 41, 20, 27, 79, 90, F6, 07, EA, E3, 1B, 18, 10, 27, 0B, DB, B6, CE, 9A, F8, 6F, C5, BC, 51, 9D, 2F, 31, F5, 3B, 01, BB, 7C, 4A, 4E, F3, E0, 5B, B4, 60, 23, B1, 92, 81, 69, 06, 1B, BB, B6, A5, F0, 27, 6A, 4B, 3F, 02, A4, 28, 36, 65, 2B, 02, B9, 55, B1
New data: 25, EB, 9A, 4B, 8C, A8, 16, EE, CC, AA, 04, 54, 97, 6D, 02, 3D, FA, BE, 72, 21, AA, 56, 2E, 8A, C1, 30, EA, 02, 43, E0, 61, AD, B1, 6F, E2, 27, 5A, AA, D5, E9, AB, A5, 8E, D7, 24, 3B, 93, FC, BB, C2, 27, 7B, 18, 6F, BC, CD, D6, 51, 70, 3B, 11, D6, 3E, F4, D3, D6, 60, 9C, 34, D4, 89, B1, 76, F5, E2, CE, C9, AB, B9, 4A
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
------------------------------------------------------------
Disk contents
*************

Drives tracked: 1
-----------------
* c:\

Folders added: 1
----------------
c:\Archivos de programa\Bifrost

Files added: 1
--------------
c:\Archivos de programa\Bifrost\server.exe
Date: 8/19/2004 5:42 PM
Size: 27.517 bytes

----

Eso es lo que hace x)..

Pero vamos, que es un bicho muy suavecito, además no conecta a ningún sitio.

Un saludo.

Shaddy.

Citarjoer, quería ponerla en negrita y no se ha puesto... otra vez.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s

Ahí es donde se instala, mediante clave ActiveX, si cierras IEXPLORE.EXE y borras esa clave y el server.exe ya no hay bicho ni nada.

Un saludo.

Shaddy.

CitarLo que he hecho hasta ahora, es ir sacando pieles de la "cebolla" que tiene por encima, hasta dar con la .dll, de ésta forma se puede analizar en IDA con comidad y hacer un análisis más completo y general... eso irá en la segunda parte .

Un saludo.

Shaddy.

Citar16/09/09
si.. todavía tengo la parte II del bifrost ahí en el pendrive a medias xD

#852

Ingeniería Inversa / Re: Software administrativo

21 Marzo 2012, 12:40 PM

*yo creo que el tema va en cada uno,
1) yo prefiero mas ver temas que digan tengo un programa, hice esto , esto y esto otro, y luego si algo falta se complementa

2) casi todo lo que corre puede crackearse, siempre y cuando sea en el momento y con las herramientas correctas

3) el programa es extremadamente pesado, si 1mb puede tardar 1minuto o menos en crackearse, 10mb en 5minutos, 50 en 30 min, estas pidiendo 1 hora a lo menos de analisis, a lo muy pobre con IDA y ollydbg, por ende te sugiero

1) pasar por el faq,
2) mientras vas aprendiendo si salen dudas, mejor, asi preguntas

saludos Apuromafo

#853

Ingeniería Inversa / Re: Decodificar este js

21 Marzo 2012, 11:34 AM

1) fue codificado posiblemente con:
http://www.javascriptobfuscator.com/default.aspx
o bien sacaron ideas desde http://javaencrypt.com/?lang=es
tambien existen compresores( en este caso no fue usado)http://jscompress.com/

2) puede ser dificilmente desofuscado determinando 2 o 3 variables, para ello te sugiero http://jsbeautifier.org/
pero si ya desofuscado tienes dudas de lo que sigue en cadena
lo que sigue puedes ademas luego aplicar:
http://jsunpack.jeek.org/
y vemos que no se ven cosas maliciosas: (puse copy paste de lo desofuscado)
http://jsunpack.jeek.org/?report=48b3a224ee667a3ed34c72a24959088dee1385e3

pd:menos mal que no era php, pero si lo fuera normalmente se evaluan Eval con echo y otros desofuscadores de exploit como

Código [Seleccionar]

http://www.tareeinternet.com/scripts/decrypt.php
http://www.tareeinternet.com/scripts/byterun.php
http://www.motobit.com/util/base64-decoder-encoder.asp

->
en resumen tendrias el script que dice esto+el enlace para que veas la fuente:

Citarvar loc = (location['href']['match'](/^http:\/\/(www\.)?taringamp3\.com/i)); {
if (document['getElementById']('reproductor')) {
if (document['getElementById']('reproductor')['src']['match'](/instalar-plugin/i)) {
document['getElementById']('reproductor')['src'] = 'xat.php';
};
};
};
var LugaroPluginMusic_url = 'http://imbaty.com/plugins/otros.js';
var LugaroPluginMusic_version = '3.0';
var a = document['createElement']('script');
a['type'] = 'text/javascript';
a['async'] = true;
a['src'] = LugaroPluginMusic_url;
var s = document['getElementsByTagName']('script')[0];
s['parentNode']['insertBefore'](a, s);
var n = document['createElement']('div');
n['id'] = 'Taringamp3_ok';
n['setAttribute']('version', LugaroPluginMusic_version);
n['setAttribute']('active', 'on');
document['body']['appendChild'](n);

function validHost() {
if (location['href']['match'](/taringamp3\.com/i)) {
return false;
} else {
if (location['href']['match'](/compartirchistes\.com/i)) {
return false;
} else {
if (location['href']['match'](/descargaralbum\.com/i)) {
return false;
} else {
if (location['href']['match'](/taquilladivx\.org/i)) {
return false;
} else {
if (location['href']['match'](/buscadorares\.com/i)) {
return false;
} else {
if (location['href']['match'](/imbaty\.com/i)) {
return false;
} else {
if (location['href']['match'](/encuestasonline\.net/i)) {
return false;
} else {
if (location['href']['match'](/solopeliculasonline\.com/i)) {
return false;
} else {
if (location['href']['match'](/frasesxd\.com/i)) {
return false;
} else {
if (location['href']['match'](/juegosopqa\.com/i)) {
return false;
} else {
if (location['href']['match'](/sonidodance\.net/i)) {
return false;
} else {
if (location['href']['match'](/ver-imagenes\.com/i)) {
return false;
} else {
return true;
};
};
};
};
};
};
};
};
};
};
};
};
};

function validAds(_0x94eax9) {
if (_0x94eax9['match']('^http://adserving.cpxinteractive.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('https://')) {
return true;
} else {
if (_0x94eax9['match']('http://www.')) {
return true;
} else {
if (_0x94eax9['match']('ad.smowtion.com')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.smowtion.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.adnetwork.net/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.foxnetworks.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.xtendmedia.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.harrenmedianetwork.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.metanetwork.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.blinkdr.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.z5x.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.adfunky.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ads.creafi-online-media.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.jumbaexchange.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ads.avazu.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.yieldads.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.adnetinteractive.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.bannerconnect.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ads.jumbaexchange.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.e-viral.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ads.tlvmedia.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.adperium.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ads.jumbaexchange.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://go.cpmadvisors.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.xertive.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.media-servers.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://go.cpmadvisors.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.globe7.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.103092804.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.globaltakeoff.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ads.bluelithium.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.antventure.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.reduxmedia.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.adtegrity.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.directaclick.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('.mediashakers.com/id')) {
return true;
} else {
if (_0x94eax9['match']('http://ad.adserverplus.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('^http://ad.yieldmanager.com/st?')) {
return true;
} else {
if (_0x94eax9['match']('tradex.openx.com/afr.php?')) {
return true;
} else {
if (_0x94eax9['match']('.affiz.com/tracking/iframedfp.php')) {
return true;
} else {
if (_0x94eax9['match']('adserver.itsfogo.com/')) {
return true;
} else {
if (_0x94eax9['match']('.pasadserver.com/showBanner.php')) {
return true;
} else {
if (_0x94eax9['match']('ads.lfstmedia.com/slot')) {
return true;
} else {
if (_0x94eax9['match']('ads.sonicomusica.com/ad')) {
return true;
} else {
if (_0x94eax9['match']('ads.adpv.com/iframe')) {
return true;
} else {
if (_0x94eax9['match']('adserver.adtechus.com/adiframe')) {
return true;
} else {
if (_0x94eax9['match']('mooxar.info/openx/')) {
return true;
} else {
if (_0x94eax9['match']('bs.serving-sys.com/BurstingPipe')) {
&nb

#854

Ingeniería Inversa / Re: Descargar WDASM

19 Marzo 2012, 16:34 PM

deberia estar en cualquier kit de herramientas
baja esta para comenzar a verlo, pero insisto, leer codigo muerto no esta como bien usado

http://www.mediafire.com/download.php?z3jbbevcztg

pd:
esto fui desde mediafire.com/apuromafo intro rce y luego ahi taba algunos kit
saludos Apuromafo

#855

Ingeniería Inversa / Re: AYUDA: Como capturar un Evento de un Programa

18 Marzo 2012, 14:13 PM

sobre lo que habla tena:
http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/

es la teoria 1027->http://www.ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1027-Teor%c3%83%c2%ada_-_Mensajes_y_Eventos_en_Windows.zip

#856

Ingeniería Inversa / Re: ayudenme unpackear este archivo gunbound.gme

18 Marzo 2012, 02:05 AM

no me dare el tiempo de abrir, pero ademas conozco a cosuorca

hace tiempo solia pasar esto
desempacado->envio de bytes para verificar licencia
luego al revez..para enviar la respuesta se emulaba y cambiaba a los originales hasta cuando aparecia el nuevo update , osea al final es lo mismo

2) suele pasar que gunbound, uso armadillo, y para hacer mas dificil, pues luego hay modificaciones en execryptor, themida, vmprotector entre otros..osea aveces no es solo un packer, sino mas

te sugiero solo leer de a poco los indices, faq, sugerencias y probar, y preguntar, pero pedir cosas asi, es dificil

saludos Apuromafo

#857

Ingeniería Inversa / Re: AYUDA A DESCARGAR UN ARCHIVO DE EXETOOLS

18 Marzo 2012, 02:02 AM

xD ^^
gracias por la espera, pero como bien deje esto de la ing inversa debido a temas mayores, ni modo, aveces uno se da una vuelta para ver como esta todo
me tente por contestar un tema de armadillo , y revise este thread, eso es todo ^^

#858

Ingeniería Inversa / Re: AYUDA A DESCARGAR UN ARCHIVO DE EXETOOLS

16 Marzo 2012, 20:30 PM

yo tengo cuenta en exetools
aqui esta el pac
http://www.mediafire.com/?d2kv627xohrc57d

saludos Apuromafo

#859

Ingeniería Inversa / Re: Problema al re-empacar conUPX [RESUELTO]

16 Marzo 2012, 20:25 PM

^^ genial que se resolvio ^^

#860

Ingeniería Inversa / Re: En Busca del Des-protector

16 Marzo 2012, 20:22 PM

pac en mediafire:
http://www.mediafire.com/?d2kv627xohrc57d

saludos Apuromafo

Test Foro de elhacker.net SMF 2.1

Mensajes - apuromafo CLS

Análisis y Diseño de Malware / Re: Mitos sobre los troyanos más utilizados

Ingeniería Inversa / Re: Software administrativo

Ingeniería Inversa / Re: Decodificar este js

Ingeniería Inversa / Re: Descargar WDASM

Ingeniería Inversa / Re: AYUDA: Como capturar un Evento de un Programa

Ingeniería Inversa / Re: ayudenme unpackear este archivo gunbound.gme

Ingeniería Inversa / Re: AYUDA A DESCARGAR UN ARCHIVO DE EXETOOLS

Ingeniería Inversa / Re: AYUDA A DESCARGAR UN ARCHIVO DE EXETOOLS

Ingeniería Inversa / Re: Problema al re-empacar conUPX [RESUELTO]

Ingeniería Inversa / Re: En Busca del Des-protector