SlideShare una empresa de Scribd logo

Discuri Malware

Descargar como PPT, PDF
David Thomas
David Thomas

Según Webimprints un proveedor de pruebas de penetración, Malware Discuri se propaga a pesar de correo electrónico y se distribuye en campañas de spam, que están llenas de, empacadores multicapa ingeniosas. El archivo principal es un ejecutable.

Internet
1 de 7
WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informática http://www.webimprints.com/seguridad-informatica.html Discuri Malware
Discuri Malware Según Webimprints un proveedor de pruebas de penetración, Malware Discuri se propaga a pesar de correo electrónico y se distribuye en campañas de spam, que están llenas de, empacadores multicapa ingeniosas. El archivo principal es un ejecutable .NET muy ofuscado. Los elementos que intervienen están •Discuri.exe que es el principal exe de .NET ofuscado •ERmHclA.dll es un unpacker cifrada (dll .NET) •Major.exe es un exe de .NET •Payload.exe es el código malicioso Discuri es un archivo que está fuertemente ofuscado y datos se ha cifrado por XOR con una clave
Según expertos deproveedor de pruebas de penetración. La clave está escondida en el ejecutable ofuscado con una clave de 640 bytes de longitud. La carga útil es un archivo .NET con un manifiesto XML típico. Aplicando XOR con un manifiesto típico fragmento apropiado del contenido cifrado dan la clave completa. La salida es un archivo DLL, escrito en .NET y no ofuscado. Su nombre original es ERmHclA.dll y notó que lee los datos de algunos BMP. Esta BMP se puede encontrar en los recursos del archivo principal. La imagen es de altura de un píxel, tira de colorido. No es una imagen real, pero un dato representado por píxeles. Discuri Malware
Comenta Mike Stevens profesional de empresas de seguridad informática que se supone que la clave es para hacer que el proceso de descifrado depende en el módulo principal ejecutando el archivo DLL y la marca de tiempo. Discuri.exe Función de esta capa está protegiendo las otras capas. Es un archivo .NET muy ofuscado, que genera la clave XOR, descomprime el archivo DLL incrustado con su ayuda, y luego deja entregar la DLL y la despliega. ERmHclA.dll Este módulo tiene un trabajo crucial en el desembalaje de la carga útil y ejecutarlo. Cuenta con un amplio conjunto de opciones que se pueden configurar por el usuario de este empacador. Caminos adicionales de ejecución están habilitados o inhabilitados por las banderas booleanas. Discuri Malware
Comenta Mike Stevens de empresa de seguridad informática que Además, hay un texto simulado establecer como URL de descarga (que se puede utilizar para proporcionar la carga útil adicional) y una clave (que podrían ser utilizados para descifrarlo). Probablemente son los consejos para los usuarios del empacador, representada en GUI del generador - debido al hecho de que, en este caso el usuario no los ha llenado, los valores predeterminados se han incorporado en el paquete. Este paquete en particular, con la configuración dada, se centra sólo en el despliegue de la carga útil - disfrazado RegAsm.exe con la ayuda de la técnica RunPE (que se ejecuta el ejecutable original, suspendiéndolo, unmapping de la memoria, entrega de la carga útil en su lugar y en funcionamiento de nuevo). Discuri Malware
CONTACTO www.webimprints.com 538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845
CONTACTO www.webimprints.com 538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845

Recomendados

Eduu
EduuEduu
Eduu
yesi2014
 
John the Ripper
John the RipperJohn the Ripper
John the Ripper
Andree Fdez
 
Uso de John the Ripper
Uso de John the RipperUso de John the Ripper
Uso de John the Ripper
Moisés Pedrajas Olmo
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"
Alonso Caballero
 
Configuración de unidades de red 07012015
Configuración de unidades de red 07012015Configuración de unidades de red 07012015
Configuración de unidades de red 07012015
Genesis Paladines
 
Powerpoint
PowerpointPowerpoint
Powerpoint
Juan Nahuel Alonso
 
Powerpoint
PowerpointPowerpoint
Powerpoint
48545947
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 

Recomendados

Eduu
EduuEduu
Eduu
yesi2014
 
John the Ripper
John the RipperJohn the Ripper
John the Ripper
Andree Fdez
 
Uso de John the Ripper
Uso de John the RipperUso de John the Ripper
Uso de John the Ripper
Moisés Pedrajas Olmo
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"
Alonso Caballero
 
Configuración de unidades de red 07012015
Configuración de unidades de red 07012015Configuración de unidades de red 07012015
Configuración de unidades de red 07012015
Genesis Paladines
 
Powerpoint
PowerpointPowerpoint
Powerpoint
Juan Nahuel Alonso
 
Powerpoint
PowerpointPowerpoint
Powerpoint
48545947
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Black energy malware iicybersecurity
Black energy malware iicybersecurityBlack energy malware iicybersecurity
Black energy malware iicybersecurity
David Thomas
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Oskar Laguillo
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usb
Digetech.net
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
Kevin Medina
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
David Thomas
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
Alexander Velasque Rimac
 
Proteccion de archivos y carpetas
Proteccion de archivos y carpetasProteccion de archivos y carpetas
Proteccion de archivos y carpetas
deyvidmendozadurand
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
Ramiro Estigarribia Canese
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
Luis Fernando Aguas Bucheli
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
Luis Fernando Aguas Bucheli
 
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Yolanda Ruiz Hervás
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
Carlos De la Cruz Riera
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirus
heydyagudelo.1995
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirus
heydyagudelo.1995
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirus
heydyagudelo.1995
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
Jesús Moreno León
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
Agustin Valdez
 
crackers
crackers crackers
crackers
maria_belen
 
Caratula de un crackers
Caratula de un crackersCaratula de un crackers
Caratula de un crackers
maria_belen
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus Informático
Juan Astudillo
 
Finding target for hacking on internet is now easier
Finding target for hacking on internet is now easierFinding target for hacking on internet is now easier
Finding target for hacking on internet is now easier
David Thomas
 
Multigrain malware webimprints
Multigrain malware webimprints Multigrain malware webimprints
Multigrain malware webimprints
David Thomas
 

Más contenido relacionado

Similar a Discuri Malware

Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Yolanda Ruiz Hervás
 
Caratula de un crackers
Caratula de un crackersCaratula de un crackers
Caratula de un crackers
maria_belen
 

Similar a Discuri Malware (20)

Black energy malware iicybersecurity
Black energy malware iicybersecurityBlack energy malware iicybersecurity
Black energy malware iicybersecurity
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usb
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Proteccion de archivos y carpetas
Proteccion de archivos y carpetasProteccion de archivos y carpetas
Proteccion de archivos y carpetas
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
 
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirus
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirus
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirus
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
crackers
crackers crackers
crackers
 
Caratula de un crackers
Caratula de un crackersCaratula de un crackers
Caratula de un crackers
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus Informático
 

Más de David Thomas

Más de David Thomas (20)

Finding target for hacking on internet is now easier
Finding target for hacking on internet is now easierFinding target for hacking on internet is now easier
Finding target for hacking on internet is now easier
 
Multigrain malware webimprints
Multigrain malware webimprints Multigrain malware webimprints
Multigrain malware webimprints
 
Nymaim goz nym malware
Nymaim goz nym malwareNymaim goz nym malware
Nymaim goz nym malware
 
Thanatos malware iics
Thanatos malware iics Thanatos malware iics
Thanatos malware iics
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurity
 
Remaiten malware
Remaiten malwareRemaiten malware
Remaiten malware
 
Usb thief malware iicybersecurity
Usb thief malware iicybersecurityUsb thief malware iicybersecurity
Usb thief malware iicybersecurity
 
Android triada malware iicybersecurity
Android triada malware iicybersecurityAndroid triada malware iicybersecurity
Android triada malware iicybersecurity
 
W97 m malware
W97 m malware W97 m malware
W97 m malware
 
Libgraphite malware webimprints
Libgraphite malware webimprints Libgraphite malware webimprints
Libgraphite malware webimprints
 
Dropboxcache malware iicybersecurity
Dropboxcache malware iicybersecurityDropboxcache malware iicybersecurity
Dropboxcache malware iicybersecurity
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malware
 
Android bankosy malware iicybersecurity
Android bankosy malware iicybersecurity Android bankosy malware iicybersecurity
Android bankosy malware iicybersecurity
 
Empresa de seguridad macro malware
Empresa de seguridad macro malwareEmpresa de seguridad macro malware
Empresa de seguridad macro malware
 
Packrat malware iicybersecurity
Packrat malware iicybersecurityPackrat malware iicybersecurity
Packrat malware iicybersecurity
 
Windows gusano webimprints
Windows gusano webimprints Windows gusano webimprints
Windows gusano webimprints
 
Soluciones de seguridad informatica abaddon pos iicybersecurity
Soluciones de seguridad informatica abaddon pos iicybersecuritySoluciones de seguridad informatica abaddon pos iicybersecurity
Soluciones de seguridad informatica abaddon pos iicybersecurity
 
Empresa de seguridad rootnit android malware
Empresa de seguridad rootnit android malwareEmpresa de seguridad rootnit android malware
Empresa de seguridad rootnit android malware
 
Mod pos malware iicybersecurity
Mod pos malware iicybersecurityMod pos malware iicybersecurity
Mod pos malware iicybersecurity
 
Soluciones de seguridad informatica bookworm troyano iicybersecurity
Soluciones de seguridad informatica bookworm troyano iicybersecuritySoluciones de seguridad informatica bookworm troyano iicybersecurity
Soluciones de seguridad informatica bookworm troyano iicybersecurity
 

Discuri Malware

  • 1. WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informática http://www.webimprints.com/seguridad-informatica.html Discuri Malware
  • 2. Discuri Malware Según Webimprints un proveedor de pruebas de penetración, Malware Discuri se propaga a pesar de correo electrónico y se distribuye en campañas de spam, que están llenas de, empacadores multicapa ingeniosas. El archivo principal es un ejecutable .NET muy ofuscado. Los elementos que intervienen están •Discuri.exe que es el principal exe de .NET ofuscado •ERmHclA.dll es un unpacker cifrada (dll .NET) •Major.exe es un exe de .NET •Payload.exe es el código malicioso Discuri es un archivo que está fuertemente ofuscado y datos se ha cifrado por XOR con una clave
  • 3. Según expertos deproveedor de pruebas de penetración. La clave está escondida en el ejecutable ofuscado con una clave de 640 bytes de longitud. La carga útil es un archivo .NET con un manifiesto XML típico. Aplicando XOR con un manifiesto típico fragmento apropiado del contenido cifrado dan la clave completa. La salida es un archivo DLL, escrito en .NET y no ofuscado. Su nombre original es ERmHclA.dll y notó que lee los datos de algunos BMP. Esta BMP se puede encontrar en los recursos del archivo principal. La imagen es de altura de un píxel, tira de colorido. No es una imagen real, pero un dato representado por píxeles. Discuri Malware
  • 4. Comenta Mike Stevens profesional de empresas de seguridad informática que se supone que la clave es para hacer que el proceso de descifrado depende en el módulo principal ejecutando el archivo DLL y la marca de tiempo. Discuri.exe Función de esta capa está protegiendo las otras capas. Es un archivo .NET muy ofuscado, que genera la clave XOR, descomprime el archivo DLL incrustado con su ayuda, y luego deja entregar la DLL y la despliega. ERmHclA.dll Este módulo tiene un trabajo crucial en el desembalaje de la carga útil y ejecutarlo. Cuenta con un amplio conjunto de opciones que se pueden configurar por el usuario de este empacador. Caminos adicionales de ejecución están habilitados o inhabilitados por las banderas booleanas. Discuri Malware
  • 5. Comenta Mike Stevens de empresa de seguridad informática que Además, hay un texto simulado establecer como URL de descarga (que se puede utilizar para proporcionar la carga útil adicional) y una clave (que podrían ser utilizados para descifrarlo). Probablemente son los consejos para los usuarios del empacador, representada en GUI del generador - debido al hecho de que, en este caso el usuario no los ha llenado, los valores predeterminados se han incorporado en el paquete. Este paquete en particular, con la configuración dada, se centra sólo en el despliegue de la carga útil - disfrazado RegAsm.exe con la ayuda de la técnica RunPE (que se ejecuta el ejecutable original, suspendiéndolo, unmapping de la memoria, entrega de la carga útil en su lugar y en funcionamiento de nuevo). Discuri Malware
  • 6. CONTACTO www.webimprints.com 538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845
  • 7. CONTACTO www.webimprints.com 538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845