(https://i.imgur.com/VRDi8CX.png)
Análisis estático(Nivel 1)
Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.
(https://i.imgur.com/XQcVfJS.png)
Una vez localizado el fichero lo guardamos con click derecho
(https://i.imgur.com/p7WFQ99.png)
Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente
(https://i.imgur.com/um7Unov.png)
Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza
(https://i.imgur.com/dRKKmji.png)
Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo
(https://i.imgur.com/ZoAfIxr.png)
Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.
(https://i.imgur.com/Tafkz5J.png)
Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido :D
(https://i.imgur.com/jeqB1p7.png)
Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto
DOWNLOAD:https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0 (https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0)
PASS:infected
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Buenas
Me gusta ver neuvos post de analisis por la seccion. :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.
Saludos
Muchas gracias ahora estoy con esto y muy probablemente siga en la misma linea :D tienes toda la razon, no es polymoric ya que el codigo no varia jajajaj he cambiado el titulo,joder esq es tan bonita esa palabra, polimorfico >:D
Me gustó y eso que vas por la segunda entrega,me gustaría que sigas con este tipos de post,saludos.