Ir para conteúdo
  • Cadastre-se
Entre para seguir isso  
Leandro Fróes

AnalyseMe - Nível 02

Posts Recomendados

Faaala galera, planos pro fds? Espero que não pois aqui está o nosso terceiro desafio da série AnalyseMe. Para aqueles que ainda não fizeram os desafios anteriores eu indico fortemente fazer e postar para a galera se ajudar e aprender junto. Qualquer dúvida fique a vontade para perguntar também.

Lembrando que é pra postar a solução usando o modelo e entre tags spoiler (olhinho.png.f1c595fbcc6c51c97cd8ab5e67d1fe54.png):

Spoiler


  1. Tipo de arquivo: PE EXE
  2. Compilador/linguagem: Borland C++
  3. Protector/packer: Nenhum
  4. SHA-256: 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08
  5. Strings interessantes: X, Y, Z
  6. Funções locais maliciosas: 405040 (faz tal coisa), 403570 (faz coisa e tal)
  7. Chamadas à API do Windows e outras bibliotecas: CreateWindowExA(parâmetros), InternetOpenFileA(parâmetros)...
  8. Atividades de rede: resolve o domínio X, baixa Y da URL Z
  9. O que o binário faz em linhas gerais: Rouba as senhas armazenadas no browser.
  10. O que foi modificado no sistema: o arquivo X é criado e uma chave de registro é adicionada em HKLM\Microsoft\Windows\CurrentVersion\Run com o valor c:\binario.exe


 

Abraços!

AnalyseMe-02.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde Leandro,

Abaixo minha análise desse sample.

Spoiler

Tipo de arquivo: PE EXE
Compilador/linguagem: Visual Studio C/C++
Protector/packer: Nenhum
SHA-256: cfbfa910884ffc3daa1708290597ca89d4104289284a0ed3fe1e90919c60dff7
Strings interessantes: "http://2016.eicar.org/download/eicar.com" (ofuscada como "3//+attikjmu>28:)u4)<t?4,574:?t>28:)u846"), "\\windowsupdate.exe" (ofuscada como ",25?4,(.+?:/>u>#>" e "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0" (ofuscada também);
Funções locais maliciosas: 4011A0 (reconstrói as strings, faz o download e escrita do arquivo);
Chamadas à API do Windows e outras bibliotecas: InternetReadFile, InternetOpenA, InternetOpenUrlA, WriteFile, GetTempPathA, CreateFileA;
Atividades de rede: Baixa o arquivo em "http://2016.eicar.org/download/eicar.com" usando o user-agent do Firefox;
O que o binário faz em linhas gerais: Reconstrói as strings ofuscadas fazendo um XOR byte a byte com 0x5B, salva o arquivo baixado na pasta temporária do usuário com o nome "windowsupdate.exe" para passar despercebido;
O que foi modificado no sistema: O arquivo windowsupdate.exe foi criado dentro da pasta temporária do usuário;

Valeu e abs!
Rafael

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×