HSBC.Zip Alias FareIT

Et voila qui est fait, notre malware funky est FareIT (Sample 3b9b00d63b8bda442cca5c37f171d2a3). C’est donc bien un droppeur voleur de mots de passe sans aucunes autres velléités. Je l’ai désossé de bout en bout (482 Fonctions) et je doit dire qu’il a su bien m’amuser (merci messieurs). Au menu de l’anti-debug, de l’anti-dump, de l’anti-désassemblage. on verra tous ceci en détail, mais je vous livre déjà la bête “nue”.

FAREIT

Il va de soit que l’on va passer du temps à regarder chaque fonctions rigolote, promis ! La bête est plus que velue en moissonnage au final il gère le vol de mot de passe de 97 applications (Les Harv_xx dans le schéma) !!. je n’ai jamais vus cela avant, c’est exceptionnel.

Une fois de plus… les antivirus sont bien au top sur la classification ;)

 

Je vous le livrerait commenté avec son IDB à l’occasion de son désossage.

A bientôt.

 

This entry was posted in Malware, Reverse and tagged , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code