Discuri Malware

1
WEBIMPRINTS empresa de pruebas de penetración,
empresas de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
Discuri Malware
2
Discuri Malware

• Según Webimprints un proveedor de pruebas de
  penetración, Malware Discuri se propaga a pesar
  de correo electrónico y se distribuye en campañas
  de spam, que están llenas de, empacadores
  multicapa ingeniosas. El archivo principal es un
  ejecutable .NET muy ofuscado. Los elementos que
  intervienen están
• Discuri.exe que es el principal exe de .NET
  ofuscado
• ERmHclA.dll es un unpacker cifrada (dll .NET)
• Major.exe es un exe de .NET
• Payload.exe es el código malicioso
• Discuri es un archivo que está fuertemente
  ofuscado y datos se ha cifrado por XOR con una
  clave

3
Discuri Malware
Según expertos deproveedor de pruebas de
penetración. La clave está escondida en el
ejecutable ofuscado con una clave de 640 bytes de
longitud. La carga útil es un archivo .NET con un
manifiesto XML típico. Aplicando XOR con un
manifiesto típico fragmento apropiado del
contenido cifrado dan la clave completa. La
salida es un archivo DLL, escrito en .NET y no
ofuscado. Su nombre original es ERmHclA.dll y
notó que lee los datos de algunos BMP. Esta BMP
se puede encontrar en los recursos del archivo
principal. La imagen es de altura de un píxel,
tira de colorido. No es una imagen real, pero un
dato representado por píxeles.
4
Discuri Malware
Comenta Mike Stevens profesional de empresas de
seguridad informática que se supone que la clave
es para hacer que el proceso de descifrado
depende en el módulo principal ejecutando el
archivo DLL y la marca de tiempo. Discuri.exe Func
ión de esta capa está protegiendo las otras
capas. Es un archivo .NET muy ofuscado, que
genera la clave XOR, descomprime el archivo DLL
incrustado con su ayuda, y luego deja entregar la
DLL y la despliega. ERmHclA.dll Este módulo tiene
un trabajo crucial en el desembalaje de la carga
útil y ejecutarlo. Cuenta con un amplio conjunto
de opciones que se pueden configurar por el
usuario de este empacador. Caminos adicionales de
ejecución están habilitados o inhabilitados por
las banderas booleanas.
5
Discuri Malware
Comenta Mike Stevens de empresa de seguridad
informática que Además, hay un texto simulado
establecer como URL de descarga (que se puede
utilizar para proporcionar la carga útil
adicional) y una clave (que podrían ser
utilizados para descifrarlo). Probablemente son
los consejos para los usuarios del empacador,
representada en GUI del generador - debido al
hecho de que, en este caso el usuario no los ha
llenado, los valores predeterminados se han
incorporado en el paquete. Este paquete en
particular, con la configuración dada, se centra
sólo en el despliegue de la carga útil -
disfrazado RegAsm.exe con la ayuda de la técnica
RunPE (que se ejecuta el ejecutable original,
suspendiéndolo, unmapping de la memoria, entrega
de la carga útil en su lugar y en funcionamiento
de nuevo).
6
CONTACTO
www.webimprints.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420
• DUBAI
• 702, Smart Heights Tower, DubaiSixth Floor,
  Aggarwal Cyber Tower 1Netaji Subhash Place,
  Delhi NCR, 110034IndiaIndia Tel 91 11 4556
  6845