Troyano minador

bLaKnI

#119 Ambos tienen una aproximación dinamica, es decir, ejecutan y captchan de memoria. Mejor algo estatico, que decompile y descargue en seco:

https://lifeinhex.com/deobfuscating-autoit-scripts/

Este tio se ha marcado su propia versión de MyAut2Exe
https://bitbucket.org/kao/myauttoexe

1 respuesta
PaCoX

#121 por eso no lo he decompilado, no tengo una vm preparada para trastear xd

1 respuesta
bLaKnI

#122 Pruébate el resourcehacker! A ver si encuentras el código a pelo.

AikonCWD

resourcehacker probado, no está ahí el código. El exe del autoit.exe es el runtime a pelo, sin modificar.

1 respuesta
bLaKnI

#124 No puede ser. O entonces, el pe.bin o el shell.txt, son el codigo en si mismo.
Es que es rarisimo que distribuyan precisamente el codigo a pelo, osea, el test.au3, sin siquiera cambiarle la extensión...
Quizás si que habrá que usar el Exe2Aut...

Mira:

https://r3mrum.wordpress.com/2017/07/10/autoit-malware-from-compiled-binary-to-plain-text-script/

1 respuesta
AikonCWD

#125 bingo! con este ultimo link has dado en el clavo:

autoit deofuscado/decompilado. Voy a ver que coño hace. A simple vista dropea el shell.txt y lo desencripta usando una función XOR propia. Sabéis lo que me mola de todo esto? que con cada malware que toco, aprendo cosas nuevas, siempre.

2 respuestas
bLaKnI

#126 Genial!
Era un compiled o un standalone finalmente?
Has contrastado hashes? Para ver si en caso de ser standalone, no coincidian digo...
Has descargado el package entero de autoit y usado el exe2aut que trae por defecto la ultima versión? El oficial quiero decir. De donde has sacado el Exe2Aut.

#126AikonCWD:

Sabéis lo que me mola de todo esto? que con cada malware que toco, aprendo cosas nuevas, siempre.

Ouyesh. ^^

PD. sigue poniendo los progresos si no te importa. Que luego le echaré otro vistazo hacia el tarde.
A ver si entre todos "deshoyamos" a este hijo de puta. :D

1
PaCoX

#126 hace injeccion en user32.dll
Es igual que el ransomware que usaba autoit, supongo que habran cogido el source y algun kiddie lo ha modificado para que mine
http://www.junipernetworksblog.com/conozca-el-malware-autoit

bLaKnI

Lo curioso es que empieza a codificar con un loop de 10 vueltas:

https://www.autoitscript.com/autoit3/docs/functions/StringLen.htm

Las 10 vueltas salen de la clave encorchetada, que justamente tiene 10 caracteres.

Pero luego se autoescribe la variable en si misma.
No hay recursividad, pero si va usando el propio valor resultante del XOR en la carga d ela función

1 respuesta
AikonCWD

#129 Voy a usar drive-by method para dumpear el shell.txt (que es el siguiente paso a analizar). Lástima no saber autoIt, estoy perdiendo más tiempo aprendiendo su sintaxis que haciendo cosas.

1 respuesta
laZAr0

@AikoncWD ¿Por norma general toda carpeta que te encuentres con nombres random en c:\programdata y en c:\user\user\appdata\roaming son basura infecta?.

1 respuesta
bLaKnI

#130 Nah, fijate bien.
El primer bucle de la función, es la que s eencarga de tener la clave correcta.
El segundo bucle de la función, es precisamente el que desencripte el shell.txt.
Es reproducible yo creo, solamente habria que ejecutarlo en limpio en autoit, o hacer un homologo en python!

El primer bucle, se encarga de ir haciendo XORs hasta tener la "clave correcta" para luego en el segundo bucle, ir recuperando los Chr de binario a potable.

edit:

y ojo con el mycomput.dll que se casca en system32. Esto habria que "limpiarlo" también si finalmente la corrompe. xD

1 respuesta
AikonCWD

#131 No tiene porqué, ábrela y postea foto si tienes dudas.

#132 Sí, lo que estoy modificando es el script original, para que lo desencripte él solo (como ya hace) y finalmente me lo imprima en un TXT en lugar de ejecutar el resultado (drive-by)

2 respuestas
laZAr0

#133 No, ahora mismo no tengo nada raro, sólo carpetas con nombres de las aplicaciones instaladas y que conozco. Pero vamos, me refiero a que si hubiese encontrado alguna carpeta random ahí que no sé qué es debería de preocuparme e intentar invesitgar qué es o qué hace ahí, ¿verdad?.

Gracias por todo, ha sido muy instructivo leer este post, se agradece que haya usuarios como tú en el foro que ayuden a los demás de forma desinteresado, mis dies.

bLaKnI
#133AikonCWD:

Sí, lo que estoy modificando es el script original, para que lo desencripte él solo (como ya hace) y finalmente me lo imprima en un TXT en lugar de ejecutar el resultado (drive-by)

Eso eso. Perfecto. A ver que escupe! :clown:

Cortas a partir de la llamada a la función, y te cascas un echo directamente de la variable $inbvk...

Ni eso, directamente simplemente un echo del return de la función, ya que sino lo recuperas en binario otra vez...

¿Se deja ejecutar a pelo en autoit? No me has dicho si te has bajado el software entero para ejecutar codigo y a su vez, para usar el Exe2Aut.

xD y revisando el codigo, hijo puta que cree un acceso directo con el icono de MiPc, que ejecuta directamente el fichero test.au3 con el inteprete en el mismo directorio... xD
Aunque no imagino que pretendian con esto... al final lo util es el $parch.

1 respuesta
AikonCWD

#135 Si, se ejecuta tal cual. Simplemente doble click en el exe y le pasas el fichero *.au3
He utilizado el exe2aut y ha funciona perfecto.

1 respuesta
bLaKnI

#136 Ok. Usas la portable no?

1 respuesta
AikonCWD

#137 He usado http://domoticx.com/autoit3-decompiler-exe2aut/ , version del 2014

1 respuesta
bLaKnI

#138 Ok. Veo que así el default shipped viene "capado". Mientras que este no:

Exe2Aut is designed to be the easiest to use and most versatile decompiler for compiled AutoIt3 scripts one could think of. Simply drag and drop the executable onto Exe2Aut’s main window and the source script will be displayed. Unlike the decompiler that’s being shipped with AutoIt3, Exe2Aut is even capable of decompiling executables that have been packed and protected using AutoIt3Camo, Themida, Armadillo, Safengine and so forth due to its low level nature.

Autoit3 support: v3.2.6.0 – v3.3.11.2

Genial en el codigo, como llama a CallWindowProc de la user32.dll, para pasar un puntero de referencia a una estructura de libreria de referencia creada al vuelo, de lo que cojones sea que contiene el shell.txt! xD

https://www.autoitscript.com/autoit3/docs/functions/DllCall.htm

https://docs.microsoft.com/en-us/windows/desktop/api/winuser/nf-winuser-callwindowproca

AikonCWD

He estado analizando el tráfico... el bicho va escribiendo las capturas del keylogger, pero en ningún momento se conecta a internet para enviar dicha info al exterior. He estado como 30 minutos y no envía nada...

1 respuesta
bLaKnI

#140 Puede que el shell.txt, genere entrada en el Task Scheduler (lo veremos cuando lo vuelques a string). Echa un vistazo a ver si hay programado un envío periódico escondido por ahí...

1 respuesta
AikonCWD

#141 Nada de nada, revisado ayer toda la ejecución de los procesos. Quizás el proceso cada X horas o cuando detecte inactividad... envía algún mail con la info o hace conexión FTP o lo que sea... yo no he podido capturar ese evento porque como dije, no se ejecuta nada parecido. Para descubrirlo debería poder volcar el binario de shell.txt y analizarlo con IDA, pero el no tener puta idea de autoit me hace complicado el volcar el shell.txt

Quien se anima?

1 respuesta
bLaKnI

#142 Ese cacho de codigo que has sacado del exe2aut, el de la captura, es el que necesito. Y el shell.txt.
Pero estoy en el curro y no tengo una VM.

No debería ser muy difícil escribir este código no?
Biascamente c&p lo que te saca el propio exe2aut, y aprovecha la función y la llamada a esta.

1 respuesta
4nima

¿hay alguna manera sencilla de comprobar si se tiene este troyano de mejortorrent para un analfabeto en estos temas como yo? Y en caso de tenerlo, cuál es la manera para eliminarlo sin formatear?

1 2 respuestas
wiLly1

#144 En una de las paginas Aikon explica como eliminarlo fácilmente.
No estaría de mas que #1 si le parece, haga un pequeño resumen de la info relevante del hilo. (como eliminar el virus vaya xD)

1 respuesta
AikonCWD

#144 lee en #52

#143 el shell y el resto de ficheros los tienes en https://anonfile.com/r7X2d3icb2/autoit_rar

Y el codigo decompilado es: https://pastebin.com/7vf50cv9

Con todo eso debería spoder dumpear el fichero. Tiene que ser un inyector, que se inyecta en el proceso vbc.exe
#145 lo haré :)

2 1 respuesta
bLaKnI

#146 Ok, primer paso hecho:

xD

1
josema93

Increible el hilo, me he enganchado a él, gracias por toda la información

bLaKnI

Raro de cojones.
Ejecuta la función pero escupe semejante mierda el puto drive-by:

wtf?

2 respuestas
AikonCWD

#149 Es por los carácteres no-imprimibles, vuelca la variable a un TXT en lugar de mostrarlo en msgbox. Busca como escribir un fichero en modo binary en eutoit.

edit: https://www.autoitscript.com/forum/topic/132418-readwrite-binary-file/