Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Análisis de Malware| By Blackdrake

  • 3 Respuestas
  • 2534 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1918
  • Actividad:
    0%
  • Reputación 15
    • Ver Perfil
« en: Abril 07, 2014, 09:10:14 am »
Hola todos, como todos sabemos, los malwares de hoy en día, son mucho más peligrosos, más difíciles de detectar y con mayor capacidad de destrucción. Por lo que os voy a "enseñar" a analizar algún archivo del que desconfieis.

Cabe destacar, que todo el contenido del post, está realizado por mi, (menos los dos archivos, que como menciono más adelante, encontré por internet.), el post fué realizado en un entorno controlado (sandbox) ya que estaba 100% seguro de que se trataba de malware.

Navegando por internet, encontré dos archivos, cuyos nombres eran: taskab.exe y taskaa.exe, puesto a que los nombres no me transmitían demasiada confianza decidí descargarlos y analizarlos con mi antivirus.


Como ya se esperaba, saltó el mensaje "NO SE HA DETECTADO AMENAZA", pero como bien sabemos, los antivirus no son infalibles.

El siguiente paso, era abrirlos con el editor hexadecimal, buscando palabras claves como: no-ip etc..., como no se encontraron resultados y leer todo el código desde el editor es un follón, decidí subirlos a www.malwr.com, que nos proporciona un gran servicio y nos muestra todos los movimientos del malware, Normalmente, lo subo a malwr antes de ejecutarlo para conocer los movimientos del fichero.

Resultados del fichero  taskaa.exe

Resultados del fichero  taskab.exe

Como podemos observar, se crean varios archivos entre otras cosas.

Llegamos a este punto, es hora de ejecutar los ficheros, no sin antes, controlar los procesos con una herramienta.

El resultado de ejecutar estos dos archivos fué el siguiente:


Justo después de esa acción, saltaron 2 o 3 avisos más y se reinició automáticamente la máquina, después del reinicio, continué con el análisis...

Basándome en los resultados de malwr y de la última screen, busqué el directorio uWr90Eb

Accedí aC:\Users\Blackdrake pero no estaba ese directorio, pensé que podía estar oculto, por lo que ejecuté el siguiente comando en el cmd: attrib -r -s -h *.* /s /d

Ahora ya podía visualizar el directorio y los archivos que habían en su interior.


Allí había otro ejecutable, mftRy.exe, de la misma manera que antes, lo subí a malwr para ver los movimientos, acto seguido, ejecuté el fichero, no habían cambios aparentes, por ese motivo, inicié WireShark, para poder visualizar la ip donde enviaba el malware los datos.

Después de ver varias conexiones, encontré esta:


Como ya tenía la IP a la que se enviaban los datos, accedí a ella pero como de costumbre, me encontré con esta web:


El siguiente paso, era buscar el dominio al que tenía asociado esa IP:


Si accedía al nombre de dominio que me proporcionaba el comando nslookup acababa en la misma web que antes, ya que no era el dominio, si no el dns del hosting :/

Se me ocurrió, buscar la IP por google, a ver si tenía más suerte y encontraba algo...

En el tercer o cuarto enlace, encontré algo bastante interesante:


Ya tenía el dominio asociado a la IP, el siguiente paso era acceder para ver si me reedirigia a la misma página o no... Este es el contenido que pude visualizar.


Supuse que los diferentes directorios, eran infectados, asi que empecé a visualizar uno por uno.

Al llegar al segundo enlace, esto es lo que encontré:


En su interior contenía lo poco que había conseguido de mi máquina.


Como pueden comprobar era mi máquina ya que la IP, versión, antivirus eran los mismos.



Un saludo y gracias por visualizar el post.


« Última modificación: Diciembre 08, 2014, 03:12:19 pm por Expermicid »



Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5469
  • Actividad:
    15%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Abril 07, 2014, 09:12:23 am »
Muy buen aporte bro!!!
Muchisimas gracias por aportarlo! Es super util!

Saludos!
ANTRAX


Desconectado #Roedor

  • *
  • Underc0der
  • Mensajes: 27
  • Actividad:
    0%
  • Reputación 0
  • #Conociendo mi Mente
    • Ver Perfil
  • Skype: roedor.escurridizo
« Respuesta #2 en: Abril 08, 2014, 01:06:15 am »
Gran aporte, en verdad me sirvió muchisimo

Desconectado Cronos

  • *
  • Underc0der
  • Mensajes: 1000
  • Actividad:
    0%
  • Reputación 1
  • Mientras mas se, me doy cuenta de lo poco que se.
    • Ver Perfil
    • Email
  • Skype: cronos.labs
« Respuesta #3 en: Abril 08, 2014, 09:46:56 am »
Buen aporte bro!
Saludos,, Cronos.-

 

¿Te gustó el post? COMPARTILO!



Malware se propaga mediante "etiquetas" en Facebook

Iniciado por CodePunisher

Respuestas: 8
Vistas: 4792
Último mensaje Julio 02, 2013, 01:31:35 pm
por elshotta
[WinLockLess] Protege tu inicio contra el Malware en Windows.

Iniciado por Baku

Respuestas: 7
Vistas: 4673
Último mensaje Octubre 23, 2014, 05:50:24 am
por Gabriela
Ocultar malware usando ataques de precarga de dll

Iniciado por blackdrake

Respuestas: 2
Vistas: 2555
Último mensaje Agosto 09, 2014, 10:20:30 pm
por Baku
Archivos CPL: mecanismo para propagar malware

Iniciado por Gabriela

Respuestas: 4
Vistas: 3737
Último mensaje Agosto 17, 2016, 02:54:49 pm
por circunsxik
Creacion de BOT MSN + Infeccion de Malware ING SOCIAL + Automatizado

Iniciado por Cronos

Respuestas: 9
Vistas: 4771
Último mensaje Octubre 26, 2012, 09:57:38 am
por munter