jueves, 11 de julio de 2013

Spyeye, el abandonado.


Hace unos días me acercaron una muestra de este malware, que por suerte esta un poco relegado con respecto a sus competidores. 
La muestra esta compactada con UPX, no tiene ningun otro Crypter, por lo que sera fácilmente detectada por los antivirus.

http://urlquery.net/report.php?id=3607922





Descomprimimos el UPX con upx. opción -d y obtenemos la muestra original.



Luego, trataremos de obtener la configuracion para desencriptarla y  obtener el  famoso webinjects entre otras cosas.

Para esto, utilizamos LordPE, con el accederemos a los resource files del ejecutable, dentro de C2 y C3 encontraremos la CONFIG y la KEY respectivamente.




Abrimos la muestra




Directories


Resource


Aquí los tres Resource File, dumpeamos C2 (config.bin) y C3 (key.txt)





Key: 1E1CBD616746CA86AF1BF8AD57C75324

El config.bin es un archivo .zip (con password) encriptado con xor.

El algoritmo encripta con XOR desde el final del archivo hasta el comienzo con la clave 0x4C, 
por lo que arme un programe en C que hace la función inversa. (ver mas info)

Con este programa el recurso C2 lo voy a transformar en un .ZIP y luego voy a utilizar la KEY del recurso C3 para acceder a los datos.


#include "stdafx.h"
#include


int _tmain(int argc, _TCHAR* argv[])
{

FILE *fp = fopen("config.bin","rb"); // file-in 
FILE *gp = fopen("config.zip", "wb"); //file-out
long i,len;
char *buf;
int i2, xorCHAR;

fseek(fp,0,SEEK_END); //go to end
len=ftell(fp); //get position at end (length)
fseek(fp,0,SEEK_SET); //go to beg.
buf=(char *)malloc(len); //malloc buffer
fread(buf,len,1,fp); //read into buffer
fclose(fp);
  for(i = 0; i <= len ;++i){
     xorCHAR = (buf[i]^ 0x4C);
xorCHAR = (xorCHAR - buf[i-1]);
     printf("%x", xorCHAR);
fputc(xorCHAR, gp);
  }
return 0;


}


Descarga del programa ya compilado: https://www.dropbox.com/s/d56kmt1ujb6d1kw/SpyXor.rar




Salida del programa: config.zip 







Webinjects




Collectors

Gate







No es nada del otro mundo, solo lo tomo a modo de refresco, hay mucha info en Inet sobre este malware, pero no mucho en castellano, espero que les guste.

Muestra: https://www.dropbox.com/s/9v7svvh5lhjm509/Spyeye08-07-13.rar






Es todo por el momento....



@Dkavalanche 2013

1 comentario:

@Dkavalanche dijo...

Pronto algo nuevo... jeje

NOs vemos en la Eko!

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!