Quinto Desafío de ESET

Un usuario nos ha enviado este archivo (MD5: b0b1d79ddeef321586796d5438c177ea – contraseña “eset-latinoamerica”) y para analizarlo deberíamos comenzar por desempaquetarlo. Entonces:

  1. ¿Con que packer está empaquetado este ejecutable? Explicar el método utilizado para responder.
  2. ¿Es posible identificar la aplicación ejecutada? Justificar.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario, quien es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo. La detección del archivo ejecutable como malware por parte de algunos antivirus corresponde a un Falso Positivo.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Cristian

Autor , ESET

  • Jaime

    al abrir el archivo con un edito de texto me encontre con que la primera linea esta en espejo(ojepse) , y probablemente todo el archivo lo este

  • Hola

    Estuve analizando el archivo y este es mi parcial análisis:

    1) El contenido del archivo esta invertido. Lo restaure a su estado original usando una herramienta que programe en Java.

    2) De acuerdo a la cadena de texo en el offset 0x104, el archivo al parecer esta comprimido con el protector MEW 11 SE 1.2 de NorthFox. La herramienta PEiD confirma esto.

    3) La aplicación tiene el icono del notepad, sin embargo no la puedo ejecutar. En un principio pense que era debido a que usaba una version de windows no soportada por el protector (windows sp3) o porque uso un entorno virtualizado. Despues me incline mas a que posiblemente se deba a una modificación en el archivo.

    Cuando tenga tiempo seguire revisando.

    Saludos
    Miguel Febres

  • Hola

    Seguí revisando el archivo y me parece que el VirtualSize de la segunda sección fue modificado. Lo cambie a 19000h y ya es posible analizarlo con IDA o con OllyDbg. Sin embargo sigue sin ejecutar por una excepción en la dirección 0x1015000. Protegí un notepad de windows xp sp3 con el MEW 11 y son casi identicos, sin embargo el notepad que yo protegí si se ejecuta de modo normal.

    Saludos
    Miguel Febres

  • El Soprano

    Simple vista con un editor hexadecimal el programa esta de cabeza hacia abajo.

    Los bytes estan invertido es decir el primer bute original es el ultimo asi con los demas.

    A simple vista tambien se puede ver que esta empacado con el compresor mew.

    saludos.

  • Archivo que a simple vista con editor Hexa se trata de un archivo invertido.

    Con este pequeño código en vb6

    Se puede corregir el mismo.

    Private Sub Inversa()
    ‘www.rdgsoft.8k.com
    ‘También Gracias a este concurso se Arregló problema
    ‘Con Librería de Detección externa de RDG Packer Detector

    ‘Abre Archivo
    Dim archivo As String
    archivo = “C:file.exe”
    Open archivo For Binary Access Read As #1

    ‘Revertir Archivo
    Dim I As Long
    Dim DES As String
    For I = FileLen(archivo) To 1 Step -1
    Seek #1, I
    DES = DES & Input(1, #1)
    Next I

    ‘Guardar Archivo
    Open App.Path & “” & “DES.exe” For Output As #2
    Print #2, DES
    Close #2

    MsgBox “” & “OK”

    End Sub

    -Se puede Analizar con “RDG Packer Detector” y verificar el Mismo que esta
    Comprimido con el compresor “Mew”.

    Y si ejecuta el Archivo se puede ver claramente que se trata del “Notepad” que viene
    Con el mismo Windows.

    Un codigo vale mas que mil palabras.

    Saludos.

Síguenos