Posible shellcode enviado a mi correo

1

Cuando abrí mi correo electrónico esta mañana, encontré un mensaje bastante extraño en mi casilla de correo. No parecía el correo electrónico de spam de todos los días, ya que parecía una cadena codificada en base64 y nada más. Aquí hay una captura de pantalla del correo electrónico:

Intentéejecutarloatravésdedecodificadores,ydespuésdedecodificarloahexadecimalloejecutéatravésdeunanalizadordemalwareen este sitio web , y parece posible código de ensamblaje.

También hay un encabezado extraño en el correo electrónico: X-phsgyov: twxmjuo says , que hace que parezca que el correo electrónico fue creado.

Mi pregunta es, ¿alguien tiene algún conocimiento de lo que es esto? Hay un enlace de pastebin de lo que he encontrado aquí .

    
pregunta Paradoxis 23.04.2015 - 10:36
fuente

1 respuesta

1

En su interpretación del mensaje, está realizando un paso que una computadora no haría: está asumiendo que la salida del proceso de decodificación base64 es hexadecimal codificada en ASCII y la convierte a binario antes de realizar el proceso de desensamblado. Los primeros bytes del mensaje son (nota: hay una nueva línea antes de 5

571266161278423

con valores hexadecimales

0a 35 37 31 32 36 36 31 36 31 32 37 38 34 32 33

que desmontan a

0000: or    dh,(di)
0002: aaa
0003: xor   (bp:si),si
0005: seg   ss
0006: seg   ss
0007: xor   $3231,si
000b: aaa
000c: cmp   (si),dh
000e: xor   dh,(bp:di)

que es un completo disparate. Puede haber un significado oculto en el mensaje, pero no es un código de shell.

    
respondido por el Mark 23.04.2015 - 13:44
fuente

Lea otras preguntas en las etiquetas