Category Archives: Malware

Un Oracle pour trouver les fonctions de cryptage.

Posted on May 24, 2013 by thanatos

Le script du jour… il détecte les constantes remarquables des fonctions de cryptage et de hashing bien connues à l’intérieur d’un fichier. Voila de quoi gagner du temps sur du Chall ou du Malware (évidemment non packé hein !). Un petit Crackme … Continue reading →

Posted in Challenge, Crypto, Malware, Reverse | Tagged Chall, malware, Reverse | Leave a comment

Virtual Machine, ou Real Machine

Posted on April 16, 2013 by thanatos

Détection d’une VM Comment en 2013 détecter si nous sommes dans une machine virtuelle ? Avant pour Vmware, Xen, Kvm et Virtual PC c’était assez la foire, de sombres in/out dans les backdoors systèmes, des instructions non documentées ou longues comme le … Continue reading →

Posted in Malware, Reverse | Tagged Asm, Détection, packer, Virtualisation | Leave a comment

FareIT, Chronique d’un droppeur

Posted on April 4, 2013 by thanatos

Voyons aujourd’hui comment dépaqueter et analyser ce FareIT Depacking Le packer est suffisant pour un newbies comme moi, il m’a, comme il se doit, bien paummé. Une fois de plus je n’ai pas trouvé un saut propre du style JMP EAX et … Continue reading →

Posted in Malware, Reverse | Tagged FareIT, Ida, malware, ollydbg, packer, Reverse | Leave a comment

HSBC.Zip Alias FareIT

Posted on April 2, 2013 by thanatos

Et voila qui est fait, notre malware funky est FareIT (Sample 3b9b00d63b8bda442cca5c37f171d2a3). C’est donc bien un droppeur voleur de mots de passe sans aucunes autres velléités. Je l’ai désossé de bout en bout (482 Fonctions) et je doit dire qu’il a su … Continue reading →

Posted in Malware, Reverse | Tagged FareIT, malware, Reverse | Leave a comment

Mon mail HSBC, Hoo encore un Malware

Posted on March 26, 2013 by thanatos

Evidemment dans le mail que j’ai reçu il y avait un ZIP ;) dans ce ZIP, un Executable PE avec look and feel de PDF Russe. Et bien en fait c’est pas un vrai PDF figurez vous .. si si … Bon je … Continue reading →

Posted in Malware, Reverse | Tagged Botnet, FareIT, malware, Reverse | Leave a comment

Mon Facture.exe est un Zeus

Posted on March 23, 2013 by thanatos

Bon c’est officiel, il semblerait que mon Facture.exe laborieusement dépacké dans un précédent article (Hash 17832c9a78b36c8a3133e2c2e24ebc3b9896763a chez Malware.lu, version dépackée hash 13d0f11c18170923fa88005309a9ec16 ) Soit en fait un bon vieux malware Zeus. Et voici pourquoi ; Quand on le regarde un peu sous … Continue reading →

Posted in Malware, Reverse | Tagged Botnet, Crypto, Ida, malware, Reverse | 2 Comments