Empacador anti-IDA de Conficker

0

Estoy buscando información sobre el empaquetador utilizado para empaquetar el infame virus Conficker. Desafortunadamente, no pude encontrar nada sobre el empacador en Internet. Este empaquetador parece haber usado una técnica de análisis anti que confundió el algoritmo de graficado de IDA, me dijeron que es un sitio bastante divertido. Agradecería que alguien que tenga acceso al ejecutable empaquetado pueda enviarme una copia. Una explicación de cómo funciona también sería aceptada con gratitud.

Gracias a un millón por cualquier respuesta, esta es mi primera publicación en este foro y realmente me gustó lo que he visto hasta ahora.

    
pregunta Jonathan 19.08.2016 - 09:32
fuente

1 respuesta

2

Me temo que tendrás dificultades para que alguien publique directamente un enlace a un binario funcional de código malicioso aquí.

El blog de Fortinet tiene una buena explicación de cómo descomprimir cualquier versión de conficker que tengas. Fortinet: desempaquetar conficker

Esta técnica, con algunas modificaciones, funcionará bien para la mayoría de los empacadores personalizados de una sola etapa:

  1. Ejecute el binario bajo un depurador en una máquina aislada
  2. Establezca puntos de interrupción en las sucursales anti-depuración
  3. Modifique los registros para que el código se ejecute como si no hubiera sido observado
  4. Deje que el binario se descomprima y vacíe la memoria
  5. Reconstruir un ejecutable desde el shellcode sin ofuscación
respondido por el J.A.K. 19.08.2016 - 15:45
fuente

Lea otras preguntas en las etiquetas