Jump to content

Thiago de Queiroz

Membros
  • Content Count

    7
  • Joined

  • Last visited

Posts posted by Thiago de Queiroz


  1. 1 hora atrás, Aof disse:

    muito bom @Thiago de Queiroz só faltou vc seguir o modelo de analise padrão daqui do forum que o @Fernando Mercês não mencionou acima.

     

      Mostrar conteúdo oculto
    • Tipo de arquivo: PE EXE
    • Compilador/linguagem: Borland C++
    • Protector/packer: Nenhum
    • SHA-256: 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08
    • Strings interessantes: X, Y, Z
    • Funções locais maliciosas: 405040 (faz tal coisa), 403570 (faz coisa e tal)
    • Chamadas à API do Windows e outras bibliotecas: CreateWindowExA(parâmetros), InternetOpenFileA(parâmetros)...
    • Atividades de rede: resolve o domínio X, baixa Y da URL Z
    • O que o binário faz em linhas gerais: Rouba as senhas armazenadas no browser.
    • O que foi modificado no sistema: o arquivo X é criado e uma chave de registro é adicionada em HKLM\Microsoft\Windows\CurrentVersion\Run com o valor c:\binario.exe

     

    Obrigado! Me desculpe eu nao sabia deste modelo de post... 🙂 Abraco


  2. Olá Merceix!

     

    Segue minha análise rápida;

    Spoiler

    Primeiro testa se está executando em um ambiente virtualizado, procurando a existência destes dois arquivos.

    C:\Program Files\Oracle\VirtualBox Guest Additions\DIFxAPI.dll

    C:\windows\System32\Drivers\Vmmouse.sys

     

    Se algum deles existir, então ele termina a execução. 

    Se não, ele abre uma conexão com o site http://2016.eicar.org/download/eicar.com ,

    usando o User-Agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" e salva o conteúdo em um arquivo chamado payload.exe na pasta temporária do usuário.

     

    Fim rs

     

    • Curtir 1
    • Haha 1

  3. Bom, juro que não vi a solução:

     

    Primeiro, analisei o programa e vi que ele esperava receber 2 parâmetros. 

    Testava o primeiro se era igual a Z e o segundo se era igual a 2.

    Coloquei os dois conforme ele esperava, e ele me pediu a senha.

    Fez algumas operações com um texto flag(...1337_MENTE_BIN...) , descartando os pontos e os numeros e os ( ), ficando apenas flagMENTE_BIN

    Depois disso ele printou essa tela:

     

    Want some...
     b e e f ?
    Please_Sir_What_Is_The_Password_To_Release_Me:
    flagMENTE_BIN

    flag(...1337_MENTE_BIN...)

    ``There is no future. There is no past. Do you see? Time is simultaneous, an intricately structured jewel that humans insist on viewing one edge at a time, when the whole design is visible in every facet.``

    • Curtir 2
×
×
  • Create New...