Matías Porolli

Análisis de un activador no licenciado de Windows que dice ser gratuito pero que no es tal, instalando aplicaciones no deseadas para el usuario.

Los troyanos bancarios predominan en Brasil, y en particular el CPL malware. Analizamos cómo funciona, sus métodos de propagación, alcance e impacto.

Dado que el reto radica en descifrar URLs, entendamos cómo funciona el algoritmo de descifrado para poder emularlo utilizando Ingeniería Reversa.

Considerando la novedad en la consigna de este Desafío ESET orientado a la Ingeniería Reversa, al ganador se le enviará un libro de seguridad informática.

El debugging de archivos CPL maliciosos es un poco más complicado de lo normal, con lo cual debemos tener ciertas consideraciones que analizamos aquí.

Analizaremos las técnicas de hooking de llamadas a la API de Windows utilizadas por código inyectado mediante la modificación de una llave del registro.

Mediante la modificación de una llave del registro de Windows, agregando el valor AppInit_DLLs, puede lograrse la inyección de código malicioso en casi cualquier proceso. Hoy quiero mostrarles un ejemplo práctico de su uso.

Hace algún tiempo estuvimos analizando en este blog un archivo malicioso que contaba con ciertas técnicas de anti-VM para ocultar sus verdaderas intenciones al ser ejecutado en entornos virtualizados. Hoy veremos otras técnicas no tan comunes pero igualmente efectivas, basadas en instrucciones especiales de la arquitectura x86.

Analizaremos una forma automatizada de extraer las strings de Python e Immunity Debugger.