jueves, 11 de julio de 2013

Spyeye, el abandonado.
Hace unos días me acercaron una muestra de este malware, que por suerte esta un poco relegado con respecto a sus competidores. 
La muestra esta compactada con UPX, no tiene ningun otro Crypter, por lo que sera fácilmente detectada por los antivirus.

 http://urlquery.net/report.php?id=3607922



Descomprimimos el UPX con upx. opción -d y obtenemos la muestra original.



Luego, trataremos de obtener la configuracion para desencriptarla y  obtener el  famoso webinjects entre otras cosas.

Para esto, utilizamos LordPE, con el accederemos a los resource files del ejecutable, dentro de C2 y C3 encontraremos la CONFIG y la KEY respectivamente.




Abrimos la muestra




Directories


Resource


Aquí los tres Resource File, dumpeamos C2 (config.bin) y C3 (key.txt)



Key: 1E1CBD616746CA86AF1BF8AD57C75324

El config.bin es un archivo .zip (con password) encriptado con xor.

El algoritmo encripta con XOR desde el final del archivo hasta el comienzo con la clave 0x4C, 
por lo que arme un programe en C que hace la función inversa. (ver mas info)

Con este programa el recurso C2 lo voy a transformar en un .ZIP y luego voy a utilizar la KEY del recurso C3 para acceder a los datos.


#include "stdafx.h"
#include


int _tmain(int argc, _TCHAR* argv[])
{

FILE *fp = fopen("config.bin","rb"); // file-in 
FILE *gp = fopen("config.zip", "wb"); //file-out
long i,len;
char *buf;
int i2, xorCHAR;

fseek(fp,0,SEEK_END); //go to end
len=ftell(fp); //get position at end (length)
fseek(fp,0,SEEK_SET); //go to beg.
buf=(char *)malloc(len); //malloc buffer
fread(buf,len,1,fp); //read into buffer
fclose(fp);
  for(i = 0; i <= len ;++i){
     xorCHAR = (buf[i]^ 0x4C);
xorCHAR = (xorCHAR - buf[i-1]);
     printf("%x", xorCHAR);
fputc(xorCHAR, gp);
  }
return 0;


}


Descarga del programa ya compilado: https://www.dropbox.com/s/d56kmt1ujb6d1kw/SpyXor.rar




Salida del programa: config.zip 





Webinjects


Collectors

Gate




No es nada del otro mundo, solo lo tomo a modo de refresco, hay mucha info en Inet sobre este malware, pero no mucho en castellano, espero que les guste.

 Muestra: https://www.dropbox.com/s/9v7svvh5lhjm509/Spyeye08-07-13.rar


Es todo por el momento....



@Dkavalanche 2013

en

1 comentario:

@Dkavalanche dijo...

Pronto algo nuevo... jeje

NOs vemos en la Eko!

29 de agosto de 2013, 18:23

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!