Buenas, algunas personas, no saben como analizar a fondo un archivo ejecutable que posiblemente
esté infectado, en este tutorial os explicaré como analizar un archivo, sacar los datos, y limpiarlo de las conexiones que establece, en una parte del sysanalizer cogeré las imagenes del post de antrax para no repetir el procceso.


Herramientas que vamos a utilizar:


- Netstat agent.

Descarga:

[Enlace externo eliminado para invitados]

- Sysanalizer.

Descarga:

[Enlace externo eliminado para invitados]

- Hex workshop.

[Enlace externo eliminado para invitados]


Empezemos, aquí tenemos el "Crypter FUD" con regalito, que alguien a posteado en indetectables
diciendo que es FUD, pues bueno, le sacaremos las tripas a su crypter, y miraremos todo sobre él, de diferentes maneras, y nos daremos cuenta de si esta infectado o no, lo primero que haremos en abrir nuestra virtual, y ejecutar dicho archivo, debemos cerrar todos los programas y las ventanas de internet, para que no haya nada que cree conexión de salida.


Imagen



Ya está todo ejecutado, ahora la primera forma de ver si crea conexión (con posible infección) sería haciendo los
siguientes pasos, nos iremos a Inicio, a ejecutar, y pondremos "cmd", ahora nos saldrá esta ventanita, y pondremos "netstat", y nos saldra esto, dependiendo de la infección nos saldrá menos conexiones o más.


Imagen



¿Qué es netstat?

Netstat es un comando que vamos a introducir en la cmd, la cual nos mostrará las conexiones que
se establecen en nuestro ordenador.


Bueno ya hemos analizado la parte fundamental, ahora sabemos que crea conexión, ahora hay que verificar si esa
conexión es maligna o benigna, maligna, si conecta al cliente, y benigna si conecta a otro lado como microsoft o internet explorer, dependiendo de como este programado, etc, bién ahora sabemos que crea conexión entonces cogeremos el sysanalizer y lo miraremos más a fondo, analizaremos si se inyecta en algun procceso, y nos mostrará más claramente las IP's de el "crypter fud" en las imagenes llamado "server", por que he cogido las imagenes de antrax.


Imagen



Nos tirara un List Data sobre las cosas que estan corriendo en nuestra PC, cambios que se han producido, etc.


Imagen



Para ver mas detelladamente todo, cerramos este list data y nos quedamos con lo que nos dice el programa.


Imagen



Como se vé en la imagen este "crypter fud" se inyecta en el navegador por defecto que tengamos, en este caso se utiliza el firefox, por lo cual se inyecta en el firefox.


Imagen



Como vemos ahora, el "crypter fud" o en las imagenes "server", crea un archivo en el system32 llamado server.exe, por lo cual ya sabemos que está infectado, entonces ya sabemos donde se inyecta, su IP, y donde se crea el server, ahora como sabemos que esta infectado y sabemos a que IP conecta vamos a intentar desinfectarlo para coger el crypter limpito sin que haya conexiones.. o tal vez sí, pero a localhost, por que lo pondremos nosotros, no voy a introducirme más a fondo en saber si está infectado por que es obvio que sí lo está, ahora se podria mirar el regedit, etc.. pero lo dejaremos para otra ocasión, ahora nos iremos al netstat agent, y daremos doble click sobre el procceso de antes, y lo cerraremos, por lo cual ya no hay procceso que nos haga daño o tenga peligro.


Pasamos a limpiar el archivo, asin que abriremos nuestro "crypter fud" con Hex workshop, y miramos la parte del codigo a la derecha, donde esta señalado por un cuadrado de color rojo.

Imagen



Todo bién, entonces ahora buscaremos algo que se parezca a una conexión que se pueda establecer, pero como nosotros la sabemos de antes la buscaremos, os saldrá algo asin.


Imagen



Hay indica la dirección, pues ahora cambiaremos esa dirección que es donde se mandan nuestros datos, para que no se manden, está bién si lo borramos o aún mejor si lo modificamos y ponemos que no se envien, pondremos por lo cual nuestro local host que sería 127.0.0.1, quedaría asín.


Imagen



Como veis hemos modificado la conexión que establecia hacia el que quería infectar y hemos colocado nuestro localhost por lo cual todos los datos nuestros están a salvo, y además tenemos un crypter, esto esta bueno para cuando quieren infectar con servidores de bifrost que están fud, lo cual empleamos esto y lo cambiamos a localhost o si quereis a nuestra ip/no-ip entonces nos quedará el server para nosotros fud.

Bueno, ahora que hemos quitado las conexiones, lo hemos limpiado, y todo, nos queda
por asegurar si todavia queda ago en el registro, nos iremos a la "cmd" y le daremos a "ejecutar" y pondremos regedit.


Imagen




Ahora pulsamos en aceptar, y veremos el registro de nuestro sistema, nos saldrá algo asín.



Imagen




Perfecto ahora estaremos en el registro, ahora nos iremos a HKEY_LOCAL_MACHINE en mi caso por que el windows está en inglés, algunas veces aparece el "crypter fud" aquí en este caso aparece en esta parte, ya que el crypter se instalaba como un instalador entonces todos
los programas instalados salen en la parte de "Software" o en vuestro caso si utilizais el windows en español "Programas"



Imagen



Le dais a botón derecho y lo eliminais todo, luego lo cerrais, y si quereis para que este
todo bién reiniciais el ordenador, y si quereis aún más le pasais de nuevo el sysanalizer al archivo para asegurar 100%, un saludo.
Última edición por Skillmax el 15 Ago 2010, 22:34, editado 1 vez en total.
Gracias Skill...Muy bueno para los que se inician en el tema del Analisis

Salu2
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
Blog: http://www.seginformatica.net
Twitter: https://twitter.com/#!/p0is0nseginf
Excelente aporte Skillmax !
Gracias brother!
Imagen

♪♪ 2pac & Notorius B.I.G ♪♪
¿Por qué estoy luchando para vivir cuando estoy solo viven para luchar,
¿Por qué estoy tratando de ver cuando no hay nada a la vista,
¿Por qué estoy tratando de dar cuando nadie me da una oportunidad,
¿Por qué estoy muriendo para vivir cuando yo estoy viviendo para morir.♪♪
Gracias por el tuto, tengo un par de dudas..
muchas veces cuando uso Sysanalizer me da un error el snifer y se cierra solo.. porque puede ser esto??

y otra es que siempre lo miro todo con el hex y nunca veo nada que se parezca a una IP o no-ip ni entradas en el registro ni nada de eso.. puede ser porque al encryptar un server tbn se encryptan esos datos?? y si es asi, mirar con el ex sirve de poco porque el 90% de veces el troyano, stealer, gusano que este blindeado con el archivo que vamos a anlizar lo abran encryptado para indetectarlo..

ultima duda, en el caso que el malware tenga antis, podemos saverlo mirando los directorios que crea o modifica no? porque para que el malware verifique que se esta ejecutando en un entorno de virtualbox tiene que crear o modificar archivos, no se si me explicado bien pero espero que se me entienda.. un saludo

¡Nunca quieras remediar entuertos!
¡nunca sigas impulsos compasivos!
¡ten los garfios del Odio siempre activos, los ojos del juez siempre despiertos!
¡Y al echarte en la caja de los muertos, menosprecia los llantos de los vivos!
Grande amigo, siempre eché de menos un buen tuto o un taller para saber de esto, aunque seguro que los hay, y muy buenos.
Spyren Private Crypter-Binder [Autoit]
Crypter Online 0/35 (Terminado)
Buen tuto seguramente ayudara a muchos
Mi blog

www.MasaSoftware.blogspot.com

Encontraras herramientas como el Masacrypter mods Indetectables joiner

___________
gran trabajo Skillmax, esperemos que con esto no hallan tantas infecciones...

saludos!!
Soy un camaleón, en tu cama, leona ♪

Volver a “Zona de Análisis”