Según Webimprints un proveedor de pruebas de penetración, Malware Discuri se propaga a pesar de correo electrónico y se distribuye en campañas de spam, que están llenas de, empacadores multicapa ingeniosas. El archivo principal es un ejecutable.
Soluciones de seguridad informatica bookworm troyano iicybersecurity
Discuri Malware
1. WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
Discuri Malware
2. Discuri Malware
Según Webimprints un proveedor de pruebas de
penetración, Malware Discuri se propaga a pesar
de correo electrónico y se distribuye en campañas
de spam, que están llenas de, empacadores
multicapa ingeniosas. El archivo principal es un
ejecutable .NET muy ofuscado. Los elementos que
intervienen están
•Discuri.exe que es el principal exe de .NET ofuscado
•ERmHclA.dll es un unpacker cifrada (dll .NET)
•Major.exe es un exe de .NET
•Payload.exe es el código malicioso
Discuri es un archivo que está fuertemente ofuscado
y datos se ha cifrado por XOR con una clave
3. Según expertos deproveedor de pruebas de
penetración. La clave está escondida en el ejecutable
ofuscado con una clave de 640 bytes de longitud. La
carga útil es un archivo .NET con un manifiesto XML
típico.
Aplicando XOR con un manifiesto típico fragmento
apropiado del contenido cifrado dan la clave
completa. La salida es un archivo DLL, escrito en .NET y
no ofuscado. Su nombre original es ERmHclA.dll y notó
que lee los datos de algunos BMP. Esta BMP se puede
encontrar en los recursos del archivo principal. La
imagen es de altura de un píxel, tira de colorido. No es
una imagen real, pero un dato representado por
píxeles.
Discuri Malware
4. Comenta Mike Stevens profesional de empresas de
seguridad informática que se supone que la clave es
para hacer que el proceso de descifrado depende en
el módulo principal ejecutando el archivo DLL y la
marca de tiempo.
Discuri.exe
Función de esta capa está protegiendo las otras capas.
Es un archivo .NET muy ofuscado, que genera la clave
XOR, descomprime el archivo DLL incrustado con su
ayuda, y luego deja entregar la DLL y la despliega.
ERmHclA.dll
Este módulo tiene un trabajo crucial en el desembalaje
de la carga útil y ejecutarlo.
Cuenta con un amplio conjunto de opciones que se
pueden configurar por el usuario de este empacador.
Caminos adicionales de ejecución están habilitados o
inhabilitados por las banderas booleanas.
Discuri Malware
5. Comenta Mike Stevens de empresa de seguridad
informática
que Además, hay un texto simulado establecer como
URL de descarga (que se puede utilizar para
proporcionar la carga útil adicional) y una clave (que
podrían ser utilizados para descifrarlo).
Probablemente son los consejos para los usuarios del
empacador, representada en GUI del generador -
debido al hecho de que, en este caso el usuario no los
ha llenado, los valores predeterminados se han
incorporado en el paquete. Este paquete en particular,
con la configuración dada, se centra sólo en el
despliegue de la carga útil - disfrazado RegAsm.exe con
la ayuda de la técnica RunPE (que se ejecuta el
ejecutable original, suspendiéndolo, unmapping de la
memoria, entrega de la carga útil en su lugar y en
funcionamiento de nuevo).
Discuri Malware