Solicitamos su permiso para obtener datos estadísticos de su navegación en esta web, en cumplimiento del Real Decreto-ley 13/2012. Si continúa navegando consideramos que acepta el uso de cookies.

Aceptar Más información
WINTXCODERS Terminal
[[email protected] ~]:$ Bienvenido a la comunidad
Recuerda que puedes participar en nuestra comunidad registrándote

Autor Tema:  Mirando dentro de un "cheat" , ingenieria inversa a un archivo .NET  (Leído 127 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Neva();

  • Colaborador
  • Desconectado
  • *
  • 141
    335
    15
    • Ver Perfil
Hace un rato, me llego un archivo que sospechaban estaba infectado, como buena persona que soy, decidi echarle un ojo y se me ocurrio postear en wintx un thread.
El cheat es para el juego Boombang, y supuestamente te otorga ventaja sobre los otros jugadores, esta programado en .NET por lo que podemos decompilarlo:

Se trata de confuser 1.9 (lamentablemente no hay muchos obfuscadores .NET, por lo que al cabo de un tiempo uno es capaz de determinar la proteccion solamente con mirar los nombres del obfuscador.. xD), la cosa es que este obfuscador ha sido "vencido" hace bastante tiempo, por lo que podemos usar de4dot para deobfuscarlo y no complicarnos la vida.

Lo que vamos a hacer ahora, es mirar detenidamente el programa, a primera vista parece legitimo:



Todo parece funcionar, a pesar de que el codigo produzca ceguera, parece estar todo correcto, pero miremos una llamada que se hace al principio:

En un principio pense que podria ser del obfuscador, una modificacion  de confuser 1.9, pero rapidamente me di cuenta de lo contrario:

El programa funciona, pero al mismo tiempo tiene un backdoor que infecta nuestro ordenador sin que nos demos cuenta. Al inicial el programa, hace una llamada a esta clase, la cual toma un archivo que esta dentro de los recursos del programa, lo escribe en nuestro disco duro y lo agrega al registro para que se ejecute a la vez que windows.
Podriamos quedarnos aqui, pero creo que va a ser mas divertido si le echamos un vistazo al virus que esta penetrando nuestro ordenador, verdad  ::)?
Para ello, he extraido el recurso oculto y lo he guardado, suerte que en este caso el programa vuelve a estar protegido por confuser 1.9.

Finalmente, nos encontramos con que el virus lo unico que busca es poder fastidiar al pc, el creador de este proyecto tiene su pagina lista para agregar links y spammear tu ordenador con ellos.

Esto podria ser bien para minar, para ganar dinero por publicidad, para joder.. no lo sabremos, al menos por ahora.. Espero que os halla gustado la lectura  ;)
Finalmente, aqui esta el video del creador del virus:
/>Me gustaria agregar al creador, si estas leyendo esto, que programar copiando y pegando es muy sencillo. Lo que no es tan sencillo es quitarse el dolor de cabeza tras ver tu masterpiece programando.  ;)
Programas usados:
Dnspy
de4dot.
« Última modificación: Julio 30, 2018, 03:09:33 pm por Neva(); »

YouTutosJeff

  • Aportador
  • Desconectado
  • *
  • 76
    268
    8
  • Texto personal
    Never Give Up!
    • Ver Perfil
    • YouTutosJeff | Tutoriales, Noticias, Musica, Descargas
Re:Mirando dentro de un "cheat" , ingenieria inversa a un archivo .NET
« Respuesta #1 en: Agosto 16, 2018, 05:05:53 pm »

Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Hace un rato, me llego un archivo que sospechaban estaba infectado, como buena persona que soy, decidi echarle un ojo y se me ocurrio postear en wintx un thread.
El cheat es para el juego Boombang, y supuestamente te otorga ventaja sobre los otros jugadores, esta programado en .NET por lo que podemos decompilarlo:

Se trata de confuser 1.9 (lamentablemente no hay muchos obfuscadores .NET, por lo que al cabo de un tiempo uno es capaz de determinar la proteccion solamente con mirar los nombres del obfuscador.. xD), la cosa es que este obfuscador ha sido "vencido" hace bastante tiempo, por lo que podemos usar de4dot para deobfuscarlo y no complicarnos la vida.

Lo que vamos a hacer ahora, es mirar detenidamente el programa, a primera vista parece legitimo:



Todo parece funcionar, a pesar de que el codigo produzca ceguera, parece estar todo correcto, pero miremos una llamada que se hace al principio:

En un principio pense que podria ser del obfuscador, una modificacion  de confuser 1.9, pero rapidamente me di cuenta de lo contrario:

El programa funciona, pero al mismo tiempo tiene un backdoor que infecta nuestro ordenador sin que nos demos cuenta. Al inicial el programa, hace una llamada a esta clase, la cual toma un archivo que esta dentro de los recursos del programa, lo escribe en nuestro disco duro y lo agrega al registro para que se ejecute a la vez que windows.
Podriamos quedarnos aqui, pero creo que va a ser mas divertido si le echamos un vistazo al virus que esta penetrando nuestro ordenador, verdad  ::)?
Para ello, he extraido el recurso oculto y lo he guardado, suerte que en este caso el programa vuelve a estar protegido por confuser 1.9.

Finalmente, nos encontramos con que el virus lo unico que busca es poder fastidiar al pc, el creador de este proyecto tiene su pagina lista para agregar links y spammear tu ordenador con ellos.

Esto podria ser bien para minar, para ganar dinero por publicidad, para joder.. no lo sabremos, al menos por ahora.. Espero que os halla gustado la lectura  ;)
Finalmente, aqui esta el video del creador del virus:
/>Me gustaria agregar al creador, si estas leyendo esto, que programar copiando y pegando es muy sencillo. Lo que no es tan sencillo es quitarse el dolor de cabeza tras ver tu masterpiece programando.  ;)
Programas usados:
Dnspy
de4dot.


Khe :"v
Descubre | Aprende | Descarga
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Visita nuestra web de Actualidad: Noticias, Tutoriales, Descubrimientos, Musica sin Copyright, Directos, Analisis, Programas y mucho mas.

 

Powered by Advanced Topic Prefix Pro