MaggicianCOr escribió:No alboroten mas, esperen que pase Ukranow por aquí y ya salimos de dudas.
Lo que si es un poco sospechoso es que el usuario me dijo por MP sin mas, que me lo descargase y lo probara, como si tuviese mucho interés en que lo usara, nisiquiera me lo he descargado y no tengo virtuales ahora para hecharle una ojeada.

Un salút

Simplemente yo quería que lo testearas con un stub quemado a ver cuantos avs baja...

Ademas para eso están las VM

Saludos!

nose chicos, no lo e mirado casi nada pero de primeras no parece hacer nada mu raro... no hay rutas de registro ni conportamientos extraños, ya digo que no ize un seguimiento de cambios ni nada ni examine el archivo con detenimiento, pienso que a inflamable se le an caido 3 o 4 tuercas, y sino inflamable donde estan tus pruebas ¿?!!

Thanks Bro

Lo muevo a zona de analisis, veo muchas API's raras, que no se por que deberian estar en un simple Packer (CreateSemaphore, Sleep, Etc...) y muchas diferencias del original, por no hablar del peso... Ahora mismo no puedo mirar mucho mas.

PD: ¿Me podrias explicar lo de ''Algun mod editó el segundo scan ''?

//Regards.

Scorpio escribió:Lo muevo a zona de analisis, veo muchas API's raras, que no se por que deberian estar en un simple Packer (CreateSemaphore, Sleep, Etc...) y muchas diferencias del original, por no hablar del peso... Ahora mismo no puedo mirar mucho mas.

PD: ¿Me podrias explicar lo de ''Algun mod editó el segundo scan ''?

//Regards.

No se a cual de todos los exe te refieres con las apis...

El exe de la GUI se puede ver tranquilamente con VB decompiler que solo tiene algunas apis para agregar recursos, y los 2 exe restantes son modificaciones en hex del upx. solo que no están comprimidos, descomprime el upx original y verás que es muy similar.

El segundo scan tenia 19 avs... y ahora tiene 4, solo mira la reacción de Roda

Saludos!

Ninfrock escribió:

Scorpio escribió:Lo muevo a zona de analisis, veo muchas API's raras, que no se por que deberian estar en un simple Packer (CreateSemaphore, Sleep, Etc...) y muchas diferencias del original, por no hablar del peso... Ahora mismo no puedo mirar mucho mas.

PD: ¿Me podrias explicar lo de ''Algun mod editó el segundo scan ''?

//Regards.

No se a cual de todos los exe te refieres con las apis...

El exe de la GUI se puede ver tranquilamente con VB decompiler que solo tiene algunas apis para agregar recursos, y los 2 exe restantes son modificaciones en hex del upx. solo que no están comprimidos, descomprime el upx original y verás que es muy similar.

El segundo scan tenia 19 avs... y ahora tiene 4, solo mira la reacción de Roda

Saludos!

cierto no me fije en las fechas de los scans, fueron cambiados, el post se creo el 23 y el scan es del 26, tambien podria ser error de refud de suplantacion de enlaces

No sabia que UPX ya estaba cifrado la verdad, vaya despiste, no vi ninguna conexión rara ni startup, asi que lo muevo a su zona, como siempre usenlo en entornos virtuales para evitar posibles disgustos.

//Regards.

Scorpio escribió:No sabia que UPX ya estaba cifrado la verdad, vaya despiste, no vi ninguna conexión rara ni startup, asi que lo muevo a su zona, como siempre usenlo en entornos virtuales para evitar posibles disgustos.

//Regards.

Aun lo veo en zona de analisis
Y aun no entiendo los peligros de la api Sleep

Saludos!

Ninfrock escribió:

Scorpio escribió:No sabia que UPX ya estaba cifrado la verdad, vaya despiste, no vi ninguna conexión rara ni startup, asi que lo muevo a su zona, como siempre usenlo en entornos virtuales para evitar posibles disgustos.

//Regards.

Aun lo veo en zona de analisis

Mostrar/Ocultar

Y aun no entiendo los peligros de la api Sleep


Saludos!

Sabes que puedes colar un backdoor con el sleep- que no se ejecute ahorita pero dentro de tantas horas o tantos dias. de chico listo no tienes nada.

Link muerto, alguien me proporciona el archivo para analizar

de chico listo no tienes nada

el que es un chico listo es el creador del alienspy
la esta juntando con pala y carretilla

adwind escribió:

Ninfrock escribió:

Scorpio escribió:No sabia que UPX ya estaba cifrado la verdad, vaya despiste, no vi ninguna conexión rara ni startup, asi que lo muevo a su zona, como siempre usenlo en entornos virtuales para evitar posibles disgustos.

//Regards.

Aun lo veo en zona de analisis

Mostrar/Ocultar

Y aun no entiendo los peligros de la api Sleep


Saludos!

Sabes que puedes colar un backdoor con el sleep- que no se ejecute ahorita pero dentro de tantas horas o tantos dias. de chico listo no tienes nada.

Link muerto, alguien me proporciona el archivo para analizar

Hay 3000 formas de hacer un sleep sin apis.... un For, un While, etc....

Ademas prefiero, en lugar de una espera, comprobar la fecha... 'If fecha = "03-07-2015" then Ejecutar(SuperTroyano.exe)'

PD: Si... ahora sabes mis planes para dominar el mundo

PD2: De chico listo no tienes nada (esa fue por lo del sleep)

PD3: El link funciona perfectamente

PD4: De chico listo no tienes nada (esa fue por lo del link)

Saludos

Link caido
Esta página web no está disponible

ERR_NAME_NOT_RESOLVED

Ni con proxy creo solo es para ciertas regiones, alguien que lo tenga?

adwind escribió:Link caido
Esta página web no está disponible

ERR_NAME_NOT_RESOLVED

Ni con proxy creo solo es para ciertas regiones, alguien que lo tenga?

Examina por un segundo el link....

Tal vez el mensaje de die595tack067 en este post te ayude

Saludos!

Link caido
Esta página web no está disponible

ERR_NAME_NOT_RESOLVED

Ni con proxy creo solo es para ciertas regiones, alguien que lo tenga?