Detectando malware con OllyDbg

Bueno, ya que soy un nuevo autor me an mandado un programa para que lo revisara , pero miren mi sorpresa era un virus y aparte vi que ese virus ya tenia un video, aqui les dejo un pequeño Tutorial de como hice para desenmascarar este virus (Se suponia que este programa disfrazado de virus era un Tirador de Servidores)

Primero que todo necesitamos el Ollydbg y el archivo que el lammer me envio en este caso Full Crash Server Samp 0.3c

Abrimos el OllyDbg con Full Crash server 0.3c:

Primero para averiguar “mejor” buscamos “All referenced text strings” empezamos a revisar y que sorpresa me encontro lo siguiente:

Pues si miramos bien hay cosas que dicen:

  • REGSERVER
  • REBOOT
  • DEFAULTINSTALL

Tambien hay directorios pues es Sospechoso ya que se supone que lo que lanza son Ataques D.O.S o algun otro tipo de ataque porque quera ver directorios o poner DefaultInstall a mi pc? por eso si estamos inseguriros pasamos al segundo paso Investigacion

Segundo Paso/Investigacion

Dado al caso que vi algo sospechoso empeze a mirar el codigo Completo y mirar mi sorpresa! encontre esto:

Como podemos ver el trata de cambiar algo del Hkey_local_Machine, lo cual no debe ser porque?

Simple porque se supone que no debe implementar algo a nuestra Ordenador …. si siguimos viendo hay mas de estos implantadores ya sea para desactivar anti-virus ect…

Aqui otra Sorpresa:

Como podemos ver usa un monton de procesos que un Ataque D.O.S no haria…. createdirectory, setprocess….. eso muestra todos los procesos qeu se van a utilizar en el progrma

Otra Prueba:

Pues en todo el Código no hay Señal de una GUI (Grapichal User Interface) en otras palabra la Interfaz donde manejamos todo, pero de esta prueba no hay que confiarse mucho ya que un programa puede tener GUI y tener un proceso oculto en este caso el código es puro proceso

Tercer paso/Investigacion

Elimina el archivo….

En Resumen trata de analizarlo antes de abrirlo ya sea por ollybug y demas. Busca procesos extraños ya sea por OllyDbg o por otros programas. Usa la Logica, si no tiene GUI entonces como lo controlaras.

Este es solo el Primer paso para saber detectar un virus. Pronto si Durhi3m me deja de autor, Pondre mas.

Muchas gracias por leer espero que les allá gustado si así es comenten.

PD: No dejare el Archivo ya que algunos pueden ya sea confundirlo abrirlo por error o creen que en realidad funciona

Matías Moreno Cárdenas

Publicado por: Matías Moreno Cárdenas

Analista de Seguridad IT y hacking ético / Desarrollador de Software Multiplataforma. Actualmente analista de seguridad informática y hacking ético en Grupo SIA

  1. Avatar

    Buen aporte 😉

    Responder

Deja un comentario