Le Droppeur du jour, label231486.pdf – Part 1

Quel ne fut pas ma joie d’ouvrir ma boite aux lettres et de tomber sur une facture envoyée par “sales@meyda.com”. Une sombre histoire de facturation.

Fichtre, un problème de facturation… Heureusement je ne risque rien, le fichier semble passé à l’antivirus :).

Bref j’ouvre l’«arhive» avec le mot de passe indiqué (sans le «.») et je me retrouve avec un fichier .pdf ……….exe :) Bon jusque là… pas trop impressionné. Même la transparence sur l’icone est dégueulasse. On le renomme en .bin et on avance.

pdfexe

Au détour d’un strings on découvre que cela semble être un RAR self extractible.

Une fois ce SFX décompressé bêtement avec 7Zip on tombe enfin sur quelque chose qui peut nous amuser. 4 fichiers;

Bon, on au vu des scripts, on se doute que le SFX doit pouvoir lancer le script visual basic .vbs. Le seul but dans la vie de ce vbs étant de lancer le .bat

Le .bat s’occupe de virer ce qui pourrait être existant, de renommer le pdf et l’exe et ensuite, d’une part de lancer le pdf, histoire de satisfaire le bon père de famille qui a cliqué sur ce malware en affichant quelque chose. Et d’autre part de lancer le fameux exe afin d’aller dropper le malin.

Le pdf et l’exe sont enfin «caché» au mieux en prenant l’attribut fichier «system» et «hidden» et on se débarrasse du vbs et du .bat (le %0).

Aucuns doutes à avoir l’executable sent le packing au vue de l’entropie et de la taille du segment de data par rapport a celle du code.

Un coup de rabin2 permet de confirmer que sur 270 strings, il n’y a pas une string potable là dedans.

La suite ca sera donc olly :)

This entry was posted in Malware, Reverse and tagged , , , . Bookmark the permalink.

One Response to Le Droppeur du jour, label231486.pdf – Part 1

  1. yaap says:

    Super ces petits cas pratiques, j’attends la deuxième partie avec impatience !

    PS : et merci pour les articles sur le rabin, c’est super intéressant et bien expliqué :)
    Keep going!

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code