# кто курил рустока?

kaspersky
кому нада те и сами уже распакавали

z:\NewProjects\spambot\rustock.c\release\botdll.pdb

Код (Text):

1. seg000:01B11D2D sub_1B11D2D     proc near               ; CODE XREF: sub_1B11D70+11p
2. seg000:01B11D2D                                         ; sub_1B11D94+9p ...
3. seg000:01B11D2D
4. seg000:01B11D2D var_20          = byte ptr -20h
5. seg000:01B11D2D var_C           = dword ptr -0Ch
6. seg000:01B11D2D var_8           = dword ptr -8
7. seg000:01B11D2D var_4           = dword ptr -4
8. seg000:01B11D2D arg_0           = dword ptr  8
9. seg000:01B11D2D arg_4           = dword ptr  0Ch
10. seg000:01B11D2D arg_8           = dword ptr  10h
11. seg000:01B11D2D
12. seg000:01B11D2D                 push    ebp
13. seg000:01B11D2E                 mov     ebp, esp
14. seg000:01B11D30                 sub     esp, 0Ch
15. seg000:01B11D33                 push    ebx
16. seg000:01B11D34                 mov     eax, [ebp+arg_0]
17. seg000:01B11D37                 mov     [ebp+var_C], eax
18. seg000:01B11D3A                 mov     eax, [ebp+arg_4]
19. seg000:01B11D3D                 mov     [ebp+var_8], eax
20. seg000:01B11D40                 mov     eax, [ebp+arg_8]
21. seg000:01B11D43                 mov     [ebp+var_4], eax
22. seg000:01B11D46                 mov     eax, ds:dword_1B17344
23. seg000:01B11D4B                 push    0
24. seg000:01B11D4D                 push    dword ptr [eax+4]
25. seg000:01B11D50                 lea     edx, [ebp+var_C]
26. seg000:01B11D53                 push    edx
27. seg000:01B11D54                 push    31h ; '1'
28. seg000:01B11D56                 lea     edx, [esp+20h+var_20]
29. seg000:01B11D59                 mov     eax, [eax+8]
30. seg000:01B11D5C                 int     2Eh            
31. seg000:01B11D5E                 add     esp, 10h
32. seg000:01B11D61                 test    eax, eax
33. seg000:01B11D63                 setz    al
34. seg000:01B11D66                 movzx   eax, al
35. seg000:01B11D69                 pop     ebx
36. seg000:01B11D6A                 mov     esp, ebp
37. seg000:01B11D6C                 pop     ebp
38. seg000:01B11D6D                 retn    0Ch
39. seg000:01B11D6D sub_1B11D2D     endp

 

trialka
Хы. Этот листинг еще ни о чем не говорит. =)

 

kaspersky

Ну и на каком ты сейчас этапе? Сколько снял слоев?

 

Voodoo
тебе = да

 

вот интересно что товарищи аверы будут делать если не будед слоев? а весь кодес будет отметаморфлен от и до...ну скажем кодес до морфинга занимал 30кб а после 90 и допустим что морф достаточно качественный и автоматом не понопаеш явный мусор....

 

sww_
меня не сколько слои интересуют, сколько методы взаимодействия с осью, а вот о том, как автоматизировать съем слоев (быстро выяснить когда декриптор завершил свою работу, использует ли он самомодифицирующийся код и т.д.) вот как раз я и хочу написать статью. но пока я не очень вкурил как он вообще работает. такое подозрение, что на моей w2k он вообще не работает, хотя вроде бы поддерживает как сусентер, так и Int, ну а int последний раз был только в w2k... и еще товарищи аверы пишут о привязке к машине. с чем-то похожим я уже столкнулся. там идет получение некоторых уникальных данных, на их основе генериться ключ и им что-то пытается расшифроваться. так вот у меня при расшифровке лезет явный мусор. бред какой-то...

 

kaspersky

Товарищи аверы - это я . Я стотью и писал. Он работает и на W2k и на WXP (SP1/SP2) и при должной сноровке заработает на VMWare. Привязка к машине есть, советую заняться ей вплотную, а потом уже смотреть как он взаимодействует с ОС.

 

doctor_Ice

Твой метаморф будет разложен на составляющие и будет написал скрипт. А еще эмуляторы есть, сэндбоксы и прочая фигня.

 

а если метаморфа нету а только морфленный билд троя....ну пусть даже 100 билдов.... сталобыть придется куски собирать ручками анализируя кучу билдов и думать че делать с обфускацией... небольшое изменение в морфе и все придется делать сначала тут вас может ожидать ситуация подобная капче когда сморфить легко а вот разобрать ооочень трудно...
вы уже встерчали (вредоносный) код морфящйся весь?

 

да кстати это несколько некрасиво переходить на личности...почему сразу мой метаморф =)

 

doctor_Ice

В любом случае будут отличительные признаки, по которым можно зацепиться. Да, придется проанализировать как можно бОльшее кол-во сэмплов, чтобы что-то сделать.

Из последних вспоминается неплохой код у бота Kraken, но это не метаморф, а криптор.

 

sww_
> Товарищи аверы - это я
ну я тоже щас на аверскую компанию работаю
так что мы коллеги по цеху, хоть и конкуренты

> Я стотью и писал.
а статья хорошая, респект!

 

так вопрос: это как же он, русток, может пережить низкоуровневое форматирование - он что прошивает себя в биос иль куды?
и ещё, какой смысл привязки к машине????

 

A thousand demons at my door
screaming at my crumbling walls
My river's bleeding, my fields are burning
My world has stopped turning

все... позолота сползла обнажая ржавчину...во что теперь верить... эх Крис.

 

doctor_Ice

Неужели ты действительно думаешь, что писать недо-трояны - это круто?

 

а почему недо?

 

я думаю (нихочу никого оскорбить) что аверы это творческие импотенты. у них есть знания и они могут изучить чужой код и придумать как его нетрализовать но сами они не способны создавать. иначе просто не понятно почему они по другую сторону...уж явно не от желания иметь высокий уровень жизни...нормальный человек не может любить работу в офесе от 10 до 18 и получать 1.5-3к. да и работка то не ахти копания в говнокодах...ну иногда бывает что то интересное но основная то масса....

 

im1111
+1

а патому что. это потолок (либо пол). дальше или в белую контоору (с 10 до 18, с перерывом нв обед) или в бхц. или кодинг этих самых гавно троев до конца своей жизни, пока тебя тобо2 не заинтересуются те кто и те которые тех. у тебя нет выбора, рано или поздно жидохэк достает всех достал он даже афтора рустока.

 

LOL, ребятки, вы меня поражаете. Вот взять наш вирлаб, тут 90% людей программируют. Я, например, драйверы. А недо- потому что они такие и есть в 99% случаев.

 

doctor_Ice
не буду называть компанию на которую работаю, хотя в принципе, это и не секрет, но там... столько людей с горящими глазами и буквально живущими реверсингом и засыпающие с книжками по руткитам перед сном... очень интересная и сильная команда... там настоящие хакеры в истинном смысле этого слова.
хорошо, ну вот такая аналогия. вирусописатель это типа каратист. ну или самурай. или неважно кто. главное, что ему же скучно станет если не с кем будет сойтись в схватке. а применять прием "кия" к прохожим, которые не в теме - это себя не уважать.
именно _противостояние_ вирусописателей и аверов привело к появлению стелсов, полиморфов и всего-всего-всего... а так бы писали бы очередную модификацию виенны и перлись от своей крутости.

другой вопрос, что некоторые аверы любят поливать грязью вирусописателей, причем совершенно безосновательно и безпричинно. ну а некоторые вирусописатели любят мешать всех аверистов с дерьмом. а истина между тем как водится посередине.