Comradex Crypter Fud By dr.fan0

Iniciado por sxock, 7 Febrero 2013, 00:00 AM

0 Miembros y 2 Visitantes están viendo este tema.

sxock




File Info:
File Name: check.exe
SHA1: 3b1db3487d662bcd5e126f2d9d1a9dd254e22fa0
MD5: d3d03405483104ddbce45540dddfd520
Date and Time: 6-02-13,01:48:54
File Size: 1075488 Bytes
Detection: 0 of 35
Detections:
AVG Free Clean
ArcaVir Clean
Avast 5 Clean
AntiVir (Avira) Clean
BitDefender Clean
VirusBuster Internet Security Clean
Clam Antivirus Clean
COMODO Internet Security Clean
Dr.Web Clean
eTrust-Vet Clean
F-PROT Antivirus Clean
F-Secure Internet Security Clean
G Data Clean
IKARUS Security Clean
Kaspersky Antivirus Clean
McAfee Clean
MS Security Essentials Clean
ESET NOD32 Clean
Norman Clean
Norton Antivirus Clean
Panda Security Clean
A-Squared Clean
Quick Heal Antivirus Clean
Solo Antivirus Clean
Sophos Clean
Trend Micro Internet Security Clean
VBA32 Antivirus Clean
Vexira Antivirus Clean
Zoner AntiVirus Clean
Ad-Aware Clean
BullGuard Clean
Immunet Anti



Download :
rar pass : Comradex.Co

Modificado por el MOD: De momento elimino la url de descarga

Virustotal:
Comradex Crypter.exe: https://www.virustotal.com/file/12c6ca53f15bcee2101ac08eb250c7ec162b8308ca02c94c73737693962a8bf3/analysis/1360229646/ - 9 / 46
Stub.exe: https://www.virustotal.com/file/6b06f04435ba7d06f990408f25b14444324ea9c2aa0a455a62b5f7b082bb8c0a/analysis/1360230448/ - 4 / 46

Anubis:
Comradex Crypter.exe: http://anubis.iseclab.org/?action=result&task_id=167acd6bc185dbad441db95d776ea891b&call=first
Stub.exe http://anubis.iseclab.org/?action=result&task_id=1ec3d1117efb45e645969ec80b8df17d9

Saludos.

skapunky

Pregunta interesante...

porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar.  >:D
Killtrojan Syslog v1.44: ENTRAR

alister

Cita de: skapunky en  9 Febrero 2013, 23:31 PM
Pregunta interesante...

porque utliza la libreria WSOCK32.dll si es un crypter? Mañana lo analizaré con IDA y como encuentre algo me voy a enfadar.  >:D

yo ya no se ni como tienes la paciencia, ni por que te tomas la molestia... jajajaja
Back 2 business!

skapunky

La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio.

Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará.

Killtrojan Syslog v1.44: ENTRAR

alister

Cita de: skapunky en  9 Febrero 2013, 23:53 PM
La obligación en parte de un moderador es la de evitar que ocurran estas cosas. Generálmente este tipo de post va en el subforo de desarrollo de malware, así que cuando r32 o yo veamos algo en claro ya lo moveremos a su debido sitio.

Es dificil analizar todo lo que se pone en el foro, pero cuando a uno le dá por hacerlo a veces se encuentra sorpresas. Por eso no está de mas tener en cuenta estos detalles ya que bastante gente seguramente que lo descargará y ejecutará.



si, ya he presenciado algun episodio sorprendente con r32.

comparto la preocupacion por el tema, me parece fatal lo que hacen algunos users aprovechando la excusa.

lo que no sé es como no os cansais del tema y empezais a denegar este tipo de enlaces por sistema  :xD

gracias por estar atento y por el aviso
Back 2 business!

r32

#5
Anubis no detectó conexiones, si el uso de la librería:
IDA:




PE Explorer:



Crea el proceso svchost:



Estoy buscando algun timer o similar, algo no cuadra, bueno si que prefiero aprender a programarme uno que usar ese.

Editado: En Indetectables no han dicho nada, incluso tienen su propio foro (comradex.co), voy a registrarme a ver que veo.

Saludos.

alister

#6
en indetectables pueden hacer el pino puente con el si quieren.
despues de todo, a veces los amiguismos son los peores errores de vulnerabilidad del mundo xD
pero tú has puesto bastantes indicios encima de la mesa como para no usarlo.

PD: por aprender yo: estais analizando un ejecutable dummy cifrado con el crypter, o directamente el stub + el crypter?
Back 2 business!

skapunky

El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro).

En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis)

MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520

MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184

Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro.


Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia:

Post original presentando el crypter

Ahora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí.
Killtrojan Syslog v1.44: ENTRAR

alister

Cita de: skapunky en 10 Febrero 2013, 02:57 AM
El crypter está cifrado porque en realidad está programado en AutoIt y pasado a .EXE. Me he dedicado a buscar la procedencia del creador de este mod de crypter y la he encontrado (es mod de un cutre foro).

En dicho foro he encontrado el mensaje original del crypter y he revisado cheksums (MD5,CRC32,SHA1..) de los archivos. Lo bueno que el cheksum coincide en el del mensaje original con el que ha puesto aqui el usuario del post. Pero hay algo curioso, el MD5 del enlace de descarga de éste post con el enlace de descarga del crypter original n coincide (además se puede ver en los resultados de anubis)

MD5 original de la descarga del foro del autor: d3d03405483104ddbce45540dddfd520

MD5 de la descarga puesta aqui: 2e732083290cad0b9be888163fd89184

Como ven no coincíden los Md5, además el password del archivo es diferente aunque el post sea copiado del post original del otro foro.


Dejo aquí la URL, no como SPAM sinó para que entiendan la incongruencia:

Post original presentando el crypter

Ahora faltaría analizar el crypter del post original y compararlo con el que han puesto aquí.

hipotesis: el cutre foro ha hecho cutre travesuras
Back 2 business!

r32

Que hacemos entonces, eliminamos el tema?

Esto lo saqué con BSA:
Citar[ General information ]
   * File name: c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe

[ Changes to filesystem ]
   * Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\drwtsn32.log
   * Creates file C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp
   * Modifies file C:\Documents and Settings\r32\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat

[ Changes to registry ]
   * Modifies value "NumberOfCrashes=00000003" in key HKEY_LOCAL_MACHINE\software\microsoft\DrWatson
          old value "NumberOfCrashes=00000002"
   * Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
          old value empty
   * Modifies value "SavedLegacySettings=46000000CC0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
          old value "SavedLegacySettings=46000000CB0100000100000000000000050000006C6F63616C00000000040000000000000050EB206AFBFACD01010000000A00020F000000000000000000000000"

[ Network services ]
   * Looks for an Internet connection.

[ Process/window/string information ]
   * Enables process privileges.
   * Gets user name information.
   * Gets system default language ID.
   * Gets computer name.
   * Checks for debuggers.
   * Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates process "C:\WINDOWS\system32\svchost.exe,(null),(null)".
   * Injects code into process "c:\windows\system32\svchost.exe".
   * Enumerates running processes.
   * Injects code into process "c:\windows\system32\dwwin.exe".
   * Creates a mutex "SHIMLIB_LOG_MUTEX".
   * Creates a mutex "Local\_!MSFTHISTORY!_".
   * Creates a mutex "Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!".
   * Creates a mutex "Local\c:!documents and settings!r32!cookies!".
   * Creates a mutex "Local\c:!documents and settings!r32!configuración local!historial!history.ie5!".
   * Creates a mutex "RasPbFile".
   * Opens a service named "RASMAN".
   * Lists all entry names in a remote access phone book.
   * Opens a service named "Sens".
   * Creates a mutex "MSCTF.Shared.MUTEX.EBH".
   * Creates process "(null),C:\WINDOWS\system32\drwtsn32 -p 1796 -e 340 -g,(null)".
   * Injects code into process "c:\windows\system32\drwtsn32.exe".
   * Creates an event named "DbgEngEvent_00000070".
   * Injects code into process "c:\documents and settings\r32\mis documentos\descargas\comradex crypter\stub_unc.exe".
   * Terminates process "à?¤\dee\harskvol1\do".