Unpacking malware #2




Análisis estático(Nivel 1)

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.






Una vez localizado el fichero lo guardamos con click derecho




Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente




Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza




Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo




Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.



Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido






DOWNLOAD
:https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0
PASS:infected

Fuente: UNDERC0DE

Comentarios