Ir para conteúdo
  • Cadastre-se
Entre para seguir isso  
Leandro Fróes

AnalyseMe - Nível 01

Posts Recomendados

Fala galera, tudo certo?

Segue o nosso segundo desafio da série AnalyseMe. Outra coisa, lembram daquele modelo de relatório do AnalyseMe - Nível 00? Aquele é um padrão para vocês manterem o foco, para saberem que aquilo é importante dar uma olhada. Caso não consigam encontrar todos os campos fiquem a vontade para postar o que acharam, a idea aqui é aprendermos juntos e ajudar quem precisa.

Se você ainda não postou sua análise porque alguém já postou antes, posta lá!! Não esqueça que cada um tem seu ponto de vista e isso é muito importante! 😃

Queria também agradecer à todos que fizeram o primeiro tópico movimentar. Para aqueles que ainda não fizeram/postaram o desafio, tá esperando o que?!?!?! 🤓

 

AnalyseMe-01.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

muito bom @Leandro Fróes esse sample.

só o que ta faltando e influenciar o pessoal, a postar seus resultados mesmo que já tenha sido resolvido. Com suas próprias palavras.

Spoiler

Tipo de arquivo:                         PE EXE
Compilador/linguagem:         Microsoft Visual C/C++(-)[-]
Protector/packer:                     Nenhum
SHA-256:                                      52CC326E53906BFD2E5A371D3ADBDDB537CFD2F231BB7420E66C46C2EC4C9810
Strings interessantes:            "http://2016.eicar.org/download/eicar.com", "\windowsupdate.exe" , "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0"
Funções locais maliciosas:     004011A0 (faz as requisições ao site)
chamadas à API Windows e outras libs:  InternetOpenUrlA,InternetOpenA, InternetReadFile, WININET.dll,WriteFile, GetTempPathA, CreateFileA, ExitProcess, lstrcpynA, HeapAlloc, GetProcessHeap, lstrlenA, GetCommandLineA
Dlls importadas: KERNEL32.dll, WININET.dll  
Atividades de rede:                  acessa um site ("supostor C&C") e baixa mais um artefatos.
O que o binário faz em linhas gerais:  baixa 2 arquivos chamados "eicar.com" e "windowsupdate.exe", estes logo contem caracteres para testar o anti-virus.
O que foi modificado no sistema:         nada

 

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde Leandro,

Sei que já está resolvido mas segue minha análise abaixo:

Spoiler

Tipo de arquivo: PE EXE
Compilador/linguagem: Visual Studio C/C++
Protector/packer: Nenhum
SHA-256: 4263a62d41f13ff00d730fbf25bcfbccef9387cec2c5dff1cb8404efceade3e7
Strings interessantes: "http://2016.eicar.org/download/eicar.com", "\\windowsupdate.exe" e "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0";
Funções locais maliciosas: 4011A0 (download e escrita do arquivo);
Chamadas à API do Windows e outras bibliotecas: InternetOpenA, InternetOpenUrlA, InternetReadFile, CreateFileA,  WriteFile, GetTempPathA;
Atividades de rede: Baixa o arquivo em "http://2016.eicar.org/download/eicar.com" usando o user-agent do Firefox;
O que o binário faz em linhas gerais: Salva o arquivo baixado na pasta temporária do sistema com o nome "windowsupdate.exe";
O que foi modificado no sistema: O arquivo windowsupdate.exe foi criado dentro da pasta temporária do usuário;

Valeu pelo sample!

Abs,
Rafael

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde, 

Lá vai minha primeira análise, 

Spoiler

 Tipo de arquivo: PE EXE

Compilador/linguagem: Visual C/C++ (14.00.27.023)

Protector/packer: Nenhum

SHA-256: 4263A62D41F13FF00D730FBF25BCFBCCEF9387CEC2C5DFF1CB8404EFCEADE3E7

Strings interessantes:
windowsupdate.exe
 C:\Users\IEUser\Desktop\Project1\Release\Project1.pdb
http://2016.eicar.org/download/eicar.com

Funções locais maliciosas:  4011A0
Faz o download do arquivo e escreve na pasta temporária em  AppData\Local\Temp\\"windowsupdate.exe"

Chamadas à API do Windows e outras bibliotecas
- WININET.DLL
1. InternetOpenA (Inicializa o uso de um aplicativo das funções do WinINet)
2. InternetOpenUrlA (Abre um recurso especificado por uma URL completa de FTP ou HTTP). FLAG = INTERNET_FLAG_RAW_DATA

- KERNEL32.DLL
1. GetTempPathA ( 260, 0x0018fe1c )
2. CreateFileA ( "C:\Users\ADMINI~1\AppData\Local\Temp\\windowsupdate.exe") FLAG =  GENERIC_READ | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL
3. WriteFile ( 0x00000324, 0x0018ff20, 68, 0x0018ff64, NULL )
4. ExitProcess ( 0 )


Atividades de rede: Acessa a URL http://2016.eicar.org/download/eicar.com e faz download do arquivo windowsupdate.exe 

O que o binário faz em linhas gerais:  Salva em uma pasta temporária do sistema, ... "AppData\Local\Temp\\windowsupdate.exe", o executável contém scripts para detecção do Antivirus.

O que foi modificado no sistema: Nada

Estou aberto a todo tipo de crítica.

Um abraço a todos.

 

Editado por NathanUchoa

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tou meio atrasado porque tava sem PC mas enfim consegui um tempo pra analisar o executável.
O problema que tive foi que

Spoiler

 

quando InternetOpenUrl("http://2016.eicar.org/download/eicar") era chamado, travava o windbg. Tentei baixar pelo browser na VM mas mesmo o download era barrado, então tive que baixar no Linux pra poder ver o arquivo. Observando o conteúdo imaginei que fosse pra testar o antivírus como mencionado.

PS: O Firewall está desabilitado.

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×