Hola,

os dejo una tool que hice hace poco para detectar el tipo de Malware dado un archivo .exe (sin cifrar). La tool en sí es muy simple, se basa en plugins (.dll) que detectan 'firmas' en los ejecutables. Os dejo unas imágenes, el binario (y algunos plugins), la base para hacer vosotros los plugins y el source.

Imágenes



(NOTA: SpyNet lo detecta como CyberGate porque son casi idénticos)

¿Cómo hacer un plugin?
Crea una nueva DLL y añade los siguientes métodos a la clase:

public string malwareName() { return "nombredelrat"; }
        public string authorName() { return "tunombre"; }

        public bool Check(string file)
        {
            //código de reconocimiento
        }

Hay algunos RATs fácil de adivinar con una string, como es el caso de DarkComet, el método sería así:

public bool Check(string file)
        {
            return File.ReadAllText(file).Contains("#KCMDDC51#");
        }

pero algunos RATs como CyberGate usan nombres de recursos específicos, por lo tanto hay que extender un poco el método. Método para CyberGate/SpyGate:

[DllImport("kernel32.dll")]
        private static extern IntPtr LoadLibrary(string dllToLoad);

        [DllImport("kernel32.dll")]
        private static extern IntPtr LockResource(IntPtr hResData);

        [DllImport("kernel32.dll")]
        private static extern IntPtr LoadResource(IntPtr hInstance, IntPtr hResInfo);

        [DllImport("kernel32.dll")]
        private static extern uint SizeofResource(IntPtr hInstance, IntPtr hResInfo);

        [DllImport("Kernel32.dll", EntryPoint = "FindResourceW", SetLastError = true, CharSet = CharSet.Unicode)]
        private static extern IntPtr FindResource(IntPtr hModule, string pName, string pType);

public bool Check(string file)
        {
            IntPtr hExe = LoadLibrary(file);
            IntPtr hRes = FindResource(hExe, "XX-XX-XX-XX", "#10");
            IntPtr hResLoad = LoadResource(hExe, hRes);
            IntPtr lpResLock = LockResource(hResLoad);
            uint hSize = SizeofResource(hExe, hRes);
            return (hSize > 0);
        }

Binario
Archivo adjunto. Contraseña/password: Blau

Source
[Enlace externo eliminado para invitados]

Gracias, por la herramienta; y por la transparencia (code).

Gabi.

De nada
Quiero hacer una suite AntiMalware, ahora estoy intentando hacer un AntiCrypters (obtener un archivo encryptado en runtime).

Buena tool...gracias por compartirla!

GRACIAS BLAU ACCIONES SIEMPRE BUENAS COSAS

SALUDOS

gracias Blau por la tool..xD

gracias Blau

Lo Levo. Gracias, Blau.

Thanks for share Blau

DPM tio , no tenia mirado esto , la levo a ver como vá
Un saludo e buena tool bro !!!

¡Gracias, tíos!

El otro día estuve mejorándolo un poco.

gracias blau

a ver tío gracias por la tool

Blau escribió:De nada
Quiero hacer una suite AntiMalware, ahora estoy intentando hacer un AntiCrypters (obtener un archivo encryptado en runtime).

Hola Blau! Como este AntiMalware y AntiCrypters proyecto, estamos a la espera de estas herramientas que serán de utilidad para todo el mundo, cuando estábamos en la expectativa de la gran contribución como amigo habitual en sus proyectos. Gracias

comand escribió:

Blau escribió:De nada
Quiero hacer una suite AntiMalware, ahora estoy intentando hacer un AntiCrypters (obtener un archivo encryptado en runtime).

Hola Blau! Como este AntiMalware y AntiCrypters proyecto, estamos a la espera de estas herramientas que serán de utilidad para todo el mundo, cuando estábamos en la expectativa de la gran contribución como amigo habitual en sus proyectos. Gracias

La verdad es que llevo unas semanas sin hacer nada de nada (relacionado con la programación/informática). Cuando me vuelva la motivación intentaré acabar esos proyectos