Visual Basic Foro

Programación => Visual Basic 6 => Mensaje iniciado por: coco en Febrero 05, 2010, 03:34:18 am

Título: [?] Owneando un Virus de MSN (analisis)
Publicado por: coco en Febrero 05, 2010, 03:34:18 am: bien, estaba al pedo, y se me ocurrio hacer un analisis de un virus de msn.

leer lo que escribi en Pastebin (http://pastebin.com/f16e69fa8) (esta ahi por el tema de paddings y otras cosas, que por ahi aca se ve feo)

attacheo el archivo con la captura de red de Wireshark y el dumpeo de la imagen del virus: bajar .rar (http://sites.google.com/site/santiagohssl/virungue_analisis.rar?attredirects=0&d=1)

saludos y espero que no sea nada malo postear esto aca :P
Título: Re:[?] Owneando un Virus de MSN (analisis)
Publicado por: LeandroA en Febrero 05, 2010, 04:48:53 am: (http://i37.tinypic.com/auzch.jpg) El inspector Cocus, jeje
che nombraste un par de herramientas interesantes, depues me tenes que explicar como ves en la memoria el archivo en ejecucion yo generalmente uso el WinHex me enumera todas las dll y me pone Memoria primaria, Memoria secundaria y Rango Var.
en cual es la que te fijas?.

El virus en si, se propaga todo lindo, pero se puede decir que no hace nada, es muy poca la info que envia "aparentemente".

Bue cha
Título: Re:[?] Owneando un Virus de MSN (analisis)
Publicado por: coco en Febrero 05, 2010, 02:30:06 pm: Cita de: LeandroA en Febrero 05, 2010, 04:48:53 am
(http://i37.tinypic.com/auzch.jpg) El inspector Cocus, jeje
che nombraste un par de herramientas interesantes, depues me tenes que explicar como ves en la memoria el archivo en ejecucion yo generalmente uso el WinHex me enumera todas las dll y me pone Memoria primaria, Memoria secundaria y Rango Var.
en cual es la que te fijas?.

El virus en si, se propaga todo lindo, pero se puede decir que no hace nada, es muy poca la info que envia "aparentemente".

Bue cha

jajaja q hdp.
El anubis creo que ya la mayoria lo conocen; es un sandbox, que ejecuta un programa en un servidor, y le hace un analisis de todo lo que hace.

Bueno para el tema de la conexion, use el Proccess explorer, que en las propiedades de cada proceso tenes la pestaña TCP/IP que muestra las conexiones. Tambien podes ver los strings en memoria desde este mismo cuadro.

Despues, para leer la imagen, use el LordPE; simplemente lo use, porque en el ejecutable original, habia una parte que decia LordPE y pense que estaba comprimido con esto. Al final, el LordPE no comprime nada, pero ya que estabamos guarde la memoria del programa a un .txt (o eso creo que hice)

Ah y yo imagino que debe enviar mas data, el tema es que tiene que haber algun *administrador* en el canal IRC que indique alguna accion.

saludos
Título: Re:[?] Owneando un Virus de MSN (analisis)
Publicado por: LeandroA en Febrero 05, 2010, 03:00:33 pm: no precisamente un Administrador, es un metodo el del IRC, que segun el mensage arrivado el kacker del otro lado va filtrando los mensages arrivados segun su nick. entonces no se escracha su IP directamente con las victimas. osea nadie esta a la escucha solo el IRC como intermedirario.
Título: Re:[?] Owneando un Virus de MSN (analisis)
Publicado por: coco en Febrero 05, 2010, 03:13:43 pm: Cita de: LeandroA en Febrero 05, 2010, 03:00:33 pm
no precisamente un Administrador, es un metodo el del IRC, que segun el mensage arrivado el kacker del otro lado va filtrando los mensages arrivados segun su nick. entonces no se escracha su IP directamente con las victimas. osea nadie esta a la escucha solo el IRC como intermedirario.

no si ya se, pero el virus este hace algo.. porque en la imagen que subi se ven comandos, que no son del IRC en si. y si, usan el IRC como intermediario, de ahi que salta al ojo el protocolo y no es nada seguro!

saludos