Embed Size (px)
DESCRIPTION
Según Webimprints un proveedor de pruebas de penetración, Malware Discuri se propaga a pesar de correo electrónico y se distribuye en campañas de spam, que están llenas de, empacadores multicapa ingeniosas. El archivo principal es un ejecutable.
Citation preview
WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informáticahttp://www.webimprints.com/seguridad-informatica.html
Discuri Malware
Discuri MalwareSegún Webimprints un proveedor de pruebas de penetración, Malware Discuri se propaga a pesar de correo electrónico y se distribuye en campañas de spam, que están llenas de, empacadores multicapa ingeniosas. El archivo principal es un ejecutable .NET muy ofuscado. Los elementos que intervienen están•Discuri.exe que es el principal exe de .NET ofuscado•ERmHclA.dll es un unpacker cifrada (dll .NET)•Major.exe es un exe de .NET•Payload.exe es el código malicioso
Discuri es un archivo que está fuertemente ofuscado y datos se ha cifrado por XOR con una clave
Según expertos deproveedor de pruebas de penetración. La clave está escondida en el ejecutable ofuscado con una clave de 640 bytes de longitud. La carga útil es un archivo .NET con un manifiesto XML típico.Aplicando XOR con un manifiesto típico fragmento apropiado del contenido cifrado dan la clave completa. La salida es un archivo DLL, escrito en .NET y no ofuscado. Su nombre original es ERmHclA.dll y notó que lee los datos de algunos BMP. Esta BMP se puede encontrar en los recursos del archivo principal. La imagen es de altura de un píxel, tira de colorido. No es una imagen real, pero un dato representado por píxeles.
Discuri Malware
Comenta Mike Stevens profesional de empresas de seguridad informática que se supone que la clave es para hacer que el proceso de descifrado depende en el módulo principal ejecutando el archivo DLL y la marca de tiempo.Discuri.exeFunción de esta capa está protegiendo las otras capas. Es un archivo .NET muy ofuscado, que genera la clave XOR, descomprime el archivo DLL incrustado con su ayuda, y luego deja entregar la DLL y la despliega.ERmHclA.dllEste módulo tiene un trabajo crucial en el desembalaje de la carga útil y ejecutarlo.Cuenta con un amplio conjunto de opciones que se pueden configurar por el usuario de este empacador. Caminos adicionales de ejecución están habilitados o inhabilitados por las banderas booleanas.
Discuri Malware
Comenta Mike Stevens de empresa de seguridad informática que Además, hay un texto simulado establecer como URL de descarga (que se puede utilizar para proporcionar la carga útil adicional) y una clave (que podrían ser utilizados para descifrarlo).Probablemente son los consejos para los usuarios del empacador, representada en GUI del generador - debido al hecho de que, en este caso el usuario no los ha llenado, los valores predeterminados se han incorporado en el paquete. Este paquete en particular, con la configuración dada, se centra sólo en el despliegue de la carga útil - disfrazado RegAsm.exe con la ayuda de la técnica RunPE (que se ejecuta el ejecutable original, suspendiéndolo, unmapping de la memoria, entrega de la carga útil en su lugar y en funcionamiento de nuevo).
Discuri Malware
CONTACTO www.webimprints.com
538 Homero # 303Polanco, México D.F 11570
MéxicoMéxico Tel: (55) 9183-5420
DUBAI702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034
IndiaIndia Tel: +91 11 4556 6845
