Unpacking malware #2

Análisis estático(Nivel 1) Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources. Una vez...




Análisis estático(Nivel 1)

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.






Una vez localizado el fichero lo guardamos con click derecho




Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente




Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza




Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo




Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.



Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido






DOWNLOAD
:https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0
PASS:infected

Fuente: UNDERC0DE
Nombre

2017,2,2018,2,2019,2,airdrop,3,android,1,antivirus,1,bitcoin,3,blockchain,3,bolsa,3,btc,2,casa,1,coins,3,crypter,1,cuentas,2,datos ilimitado,1,desde,1,dinero,2,dinero sin invertir,3,exploit,1,forex,4,free,3,freemoney,3,fud,2,ganardinero,1,ganedinerodesdecasa,1,gold,1,gratis,5,hack,3,hbo,1,ilimitado,3,indetectable,1,internt,1,ios,1,juego de tronos,1,linux,1,money,2,movistar,1,Netflix,1,orange,1,peliculas,1,pelis magnet,1,playview,1,plus,3,premium,2,rat,1,repelis,1,series,1,siempre,2,sin invertir,1,strangerthins,1,tarifa,1,top,1,troyan,1,usa,1,usd,1,vip,2,vmware,1,vodafone,1,
ltr
item
HAXOR PROJECT: Unpacking malware #2
Unpacking malware #2
https://i.imgur.com/VRDi8CX.png
HAXOR PROJECT
https://www.h4x0rproject.com/2018/05/unpacking-malware-2.html
https://www.h4x0rproject.com/
https://www.h4x0rproject.com/
https://www.h4x0rproject.com/2018/05/unpacking-malware-2.html
true
4488731047582517966
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy