Na analise estática, é usado o processo de dissecaçao de um artefato malicioso sem executa-ló, apenas observando seu codigo com a ajuda de um disassembly, debuggers, descompiladores, unpackers, etc...
File: Trojan-Banker.Win32.Bancos.a
MD5 : f6e5d1eade8901aebbf67f330638fd47
O primeiro passo a fazer é identificar o arquivo para encontrar possiveis packers ou cryptos que dificulta o processo de engenharia reversa do arquivo.
Irei usar programas para procurar por esses packers ou cryptors:
O primeiro que irei usar é o EXEINFO
Ate o momento nao foi indentificado nenhum packer ou cryptors.
Irei usar o segundo programa o PEID
Pelo sinal nao tem nenhuma proteçao, podemos indentificar que o arquivo foi desenvolvido Borland Delphi.
vamos dar uma olha no arquivo com o PEview
como podemos ver é logo no inicio de qualquer formato PE é encontra-se um cabeçalho MZ do antigo DOS.
Vamos dar uma olhada nas DLLs para ter certeza do que esse arquivo faz...
Temos todas as dlls, vou listar as funçoes mais importantes dentro da minha analise...
DLL:
Kernel32.dll : Essa é uma dll muito comum usada para manipular a memoria, arquivos e o hardware.
User32.dll : Essa dll fornece a componentes do nucleo do windows como gerenciador de serviços do registro.
Oleaut32.dll : Significa "object linking and Embedding" uma dll de automaçao para windows 32 bits. automoçao OLE permite que os aplicativos para lidar com arquivos e informaçoes ciradas por outros aplicativos, e permite oleaut32.dll este processo. Por exemplo, voce pode usar oleaut32.dll cada vez que voce inserir uma planilha do excel em um documento do microsoft word etc..
Gdi32.dll : essa dll contem funçoes para exibir e manipular graficos.
Comctl32.dll : é um arquivo dll que é reponsavel pela Common Controls Library, essa dele incorpora uma serie de controles que ajudam a dar ao windows usa aparecnia distinta. porque estes controles sao suportados por DLLs que sao uma parte do sistema operacional, que estao disponiveis a todas as aplicaçoes . usando os controles comuns ajuda a manter a interface do usuario de um aplicativo compátivel compativel com o das aplicaçoes Shell e outras.
Wsock32.dll : Esta é uma dll de rede, o programa que acessa esse tipo de dll provavelmente se conecta a uma rede ou executa tarefas relacionadas a rede.
Strings
Encontramos coisas muito interessantes em algumas strings
Como podemos ver nao tem nenhum tipo de obfuscaçao nas informaçoes de configuraçao de email do Sr. jg-bueno@skorpionet.com.br, podemos ver que ira exister ou nao algum arquivo com retorno.txt
na imagem abaixo é mostrado como é feito o mecanismo de autenticação do programa;
podemos ter uma ideia de como deve ser a organizaçao das senhas que ficaram dentro do arquivo retorno.txt
O que chamou bastante a minha atençao foi esse local que é referenciado como \Software\Microsoft\Windows\CurrentVersion fica claro que o malware quer se iniciar automaticamente quando o windows foi reiniciado por esse motivo ele se instala na pasta "RUN"
configuraçao do smtp do nosso amigo Sr. jg-bueno
como pode ver os campos que são preenchidos são salvos em retorno.txt e enviado para o Sr. jg-bueno.
resolvi descompilar o arquivo e realmente ver como funciona com o seguinte programa : DeDe
veja que interessante:
e esse eu tenho minhas duvidas que era da caixa economica, e no final de todos os programas apresentados tinha essa seguinte configuraçao
podemos indentificar que o objetivo era coletar informaçoes bancarias e enviar para o Sr. jg-bueno...
concluçao o arquivo é um trojan banker.
