Buenas underc0deanos, en esta entrada enseñare como resolver este crackme You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vamos al lio

para instalarlo en nuestro emulador usamos el android device bridge

Lo subimos con adb push 'local' 'emulador'

Abrimos shell en el emulador con adb shell

Navegamos hasta el directorio donde hayamos subido el APK

Instalamos con adb install nombre_del_paquete



El crackme presenta el siguiente panel de login donde nos pide un email y una contraseña (secret):



Lo siguiente que haremos sera situarnos con la consola del sistema en el directorio donde hayamos instalado el apk y escribir apktool d nombre_del_paquete

Una vez se haya decompilado el apk, entramos en la carpeta que se ha creado y posteriormente en el directorio smali

Una vez estamos en el directorio smali hacemos grep -R -i password

Con este comando buscaremos en todos los directorios de forma recursiva el string password sin case sensitive (-i)

Lo que estamos buscando son cadenas hardcodeadas que contengan password a ver si podemos tirar del hilo a partir de ahí.

Debería llamarnos la atención la siguiente linea



Para ver mas concretamente a que viene esta linea debemos navegar hasta la ruta indicada en morado.

Una vez dentro podemos ver el archivo en código smali

*Nota: el código smali es el punto medio entre el código programado en Java y el código dalvik que es el que "entiende" la maquina virtual de android al ejecutar la aplicación.

En la linea 191 encontramos el string que estábamos buscando, y un poquito mas abajo debería llamarnos bastante la atención la siguiente linea también hardcodeada

const-string v8, "[WARN] Secret didn\'t match b2c4782f0afc0d9ccf21af70ac6c5c7e"

Esto es un mensaje de error de un log generado tras comparar dos hash MD5, este hash que compara es la contraseña (secret) que hemos introducido, así que por pura lógica, si desciframos el hash ya tendremos la contraseña.

Ahora nos falta el email de acceso, pero si en ese mismo archivo buscamos @ saltamos directamente a otra linea hardcodeada con un email.

Ya tenemos el email y la contraseña (secret), probemos a hacer login...



Eso es todo, cualquier duda en los comentarios .

Deja bastante que desear bajo mi punto de vista. Un ejecutable de 12 mb con tan pocas opciones y solo compatible con 32 bits, no he podido escanearlo por su peso, tampoco se puede comprimir con upx.

Igualmente Gabriela, y felices fiestas a toda la comundiad

Electrica.

Teclado y raton o mando.

Un downloader lo que hace es descargar y ejecutar un archivo.
Si tu pregunta es si esto lo hace sin que el usuario se de cuenta, la respuesta es si

Si, claro que existen, que las vias de infeccion no sean las mismas que hace 10 años? ahi puedo estar de acuerdo, pero malware existe y existira siempre, y parece que cada vez mas y mas avanzado. Virus es un concepto muy amplio, ni si quiera es una categoria dentro del malware. Sobre lo que habla el articulo intuyo que se esta refiriendo a gusanos, y ssi existen los gusanos actualmente, cierto es que no tienen el impacto que tenian el love letter o el morris, pero no por eso dejan de existir. Al final es todo una cuestion de evolucion de la tecnologia.

Muy buena pinta, una pena que parasen el desarrollo

Dejo un video que encontre

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  o es que no eh leí bien la configuración 

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...

Saludos

Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.

Ya nos cuentas.

Un saludo.

Prueba a filtrar esa excepcion con un if

Y en usuario y password, el usuario y la contraseña ddel ftp donde tienes que tener el archivo nc.exe para que lo descargue

string deporte;
cout << "Indica tu deporte favorito: ";
cin >> deporte;

if (deporte == "futbol" || deporte = "baloncesto")
    cout << "Te gustan los deportes de equipo" << endl;
else
    cout << "Lo tuyo son los deportes individuales" << endl;

Asi deberia funcionarte

con cin te coge hasta el primer espacio, con cin.getline ignora los espacios y coge todo lo que introduzcas hasta que pulses enter

fopen no lo he usado nunca.
Sobre la libreria fstream te puedo decir que tiene dos metodos ifstream para lectura y ofstream para escritura.
El uso de fstream es secillo, basta con definir un objeto del tipo ifstream u ofstream, posteriormente lo abres con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login("ruta"), puedes comprobar que se haya abierto correctamente con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login_open() para no tener errores, para leer usas el operador  >> y para escribir <<, el funcionamiento es igual que un cin o cout, lee de izquierda a derecha y deben coincidir los tipos de datos con el tipo de variables en los que lo almacenas. Para cerrarsimplemente usa archivo.close().
Total que te recomiendo fstream porque es bastante facil de entender

dependera de las politicas de la vpn, generalmente no

usa vpn y ya da igual si noip guarda logs

eso es una firma generica, no se refiere a ningun malware concreto.
Si no detallas mas tu problema es imposible ayudarte

Buenas underc0deanos, esta vez vengo con un problema al realizar un ejercicio en C++, el enunciado es el siguiente:

Escribe un programa que genere un archivo output.txt en el que aparezcan invertidos los números enteros positivos que haya en otro archivo input.txt. Contempla dos alternativas de formato del fichero input.txt:
• En la primera, cada línea contiene un número entero y termina en una línea con un 0 (centinela). Por ejemplo:
input.txt

1234
56
1000
-987
54321
0
<eof>
output.txt
4321
65
0001
12345
<eof>

El codigo que he escrito es el siguiente:

#include <iostream>
#include <fstream>
#include <string>
using namespace std;

int inverso(int num);
void lectura();
void escritura(int inverso);
int main() {
	lectura();
	system("pause");
	return 0;
}

int inverso(int num) {
	int auxiliar = 0;
	do {
		auxiliar = auxiliar * 10 + (num % 10);
		num = num / 10;
	} while (num > 0);
	return num;
}

void escritura(int inverso) {
	ofstream archivo;
	archivo.open("output.txt");
	archivo << inverso;
	archivo.close();
}

void lectura() {
	ifstream archivo;
	int numero;
	archivo.open("input.txt");
	while (archivo >> numero){
		escritura(inverso(numero));		
	}
	archivo.close();
}

El programa evidentemente no funciona
He colocado un breakpoint en la linea "archivo.open(input.txt);" y en tiempo de ejecuccion obtengo el siguiente error "{_Filebuffer={_Pcvt=0x00000000 <NULL> _Mychar=0 '\0' _Wrotesome=false ...} }"

A alguien se le ocurrre cual puede ser el fallo?

Gracias de antemano

Por partes, el primer error sera porque estas especificando en la funcion int main(void) pero realmente void no es nada, aparte que la funcion main no tomara nada como parametro.

para el segundo error te faltara importar "iostream" tal como te pusieron arriba

Mi mas sincera enhorabuena a los competidores y en especial a @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Son muy buenas noticias, parece que el gobierno de España va empezando a entender que en la tecnología esta el futuro y quiere posicionarse como pais referente buscando el talento.

Saludos

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
HOLA!!!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Ejemplo de funcion de cifrado con AES-256

Dim fso, outFile
Set fso = CreateObject("Scripting.FileSystemObject")
Set outFile = fso.CreateTextFile("output.txt", True)
set crypt = CreateObject("Chilkat_9_5_0.Crypt2")
success = crypt.UnlockComponent("30-day trial")
crypt.CryptAlgorithm = "aes"
crypt.CipherMode = "cbc"
crypt.KeyLength = 256
crypt.PaddingScheme = 0
ivHex = "000102030405060708090A0B0C0D0E0F"
crypt.SetEncodedIV ivHex,"hex"
keyHex = "000102030405060708090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F"
crypt.SetEncodedKey keyHex,"hex"
inFile = "C:\cifrar.pdf"
outFile = "C:\cifrar.pdf.aes"
success = crypt.CkEncryptFile(inFile,outFile)
WScript.Quit

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Esa seria la base para un posible ransomware, quedaria crear un array con la lista de extensiones y meterlo en un for loop e ir cifrando el disco.
La rutina de cifrado no esta detectada como es logico

@SadFud , me extraña     pensaba que estabas mas capacitado para estos temas, Chilkat es una libreria paga y propietaria que requiere instalacion previa, no es un recurso que se use en malware, siempre aparece en google cuando buscas pero sus ejemplos no sirven y menos si queres hacer malware por que deberias distribuir el vbs (en este caso) con la libreria.

En fin escribo esto para que no piensen que es todo tan simple.

GRACIAS POR LEER!!!

Lo se, y lo pense, pero no encontre rutinas de cifrado que no tirasen de esta dependencia, de todos modos puedes bindear todo, droppeas la dependencia en temp y la registras con un bat que tambien dropees y posteriormente ejecutas el vbs. como bien dices es de pago y solo tienes 30 dias de uso por equipo, pero da igual porque en realidad solo vas a llamarla en la primera ejecucion

Seria un malware muy muy cutre, si, pero podria funcionar.

Un saludo

Ejemplo de funcion de cifrado con AES-256

Dim fso, outFile
Set fso = CreateObject("Scripting.FileSystemObject")
Set outFile = fso.CreateTextFile("output.txt", True)
set crypt = CreateObject("Chilkat_9_5_0.Crypt2")
success = crypt.UnlockComponent("30-day trial")
crypt.CryptAlgorithm = "aes"
crypt.CipherMode = "cbc"
crypt.KeyLength = 256
crypt.PaddingScheme = 0
ivHex = "000102030405060708090A0B0C0D0E0F"
crypt.SetEncodedIV ivHex,"hex"
keyHex = "000102030405060708090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F"
crypt.SetEncodedKey keyHex,"hex"
inFile = "C:\cifrar.pdf"
outFile = "C:\cifrar.pdf.aes"
success = crypt.CkEncryptFile(inFile,outFile)
WScript.Quit

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Esa seria la base para un posible ransomware, quedaria crear un array con la lista de extensiones y meterlo en un for loop e ir cifrando el disco.
La rutina de cifrado no esta detectada como es logico