Requested.
------
This ransomware was also noticed here (18 Aug 2k10) ~ here (17 Dec 2k10) ~ here (27 Dec 2k10) ~ here (12 Jan 2k11) ~ here (14 Jan 2k11) ~ here (21 Jan 2k11) ~ here (23 Jan 2k11) ~ here (1 Feb 2k11) ~ here (3 Feb 2k11) ~ here (4 Feb 2k11) ~ here (4 Feb 2k11) ~ here (5 Feb 2k11) ~ here (7 Feb 2k11) ~ here (10 Feb 2k11) ~ here (12 Feb 2k11) ~ here (27 Feb 2k11) ~ here (10 Mar 2k11) ~ here (14 Mar 2k11) ~ here (14 Mar 2k11) ~ here (21 Mar 2k11) ~ here (18 Apr 2k11)
sympa ta vidéo. t'as le sample quelque part ?
ReplyDeleteMerci pour cet excellent travail Xyli !
ReplyDelete:)
http://dl.dropbox.com/u/14644039/xxx_video.exe.vir.zip
ReplyDeleteMerci !
ReplyDeleteje ne comprends pas pourquoi tu as pris le temps de dégainer UPX pour décompresser plutôt que de le sauter direct. De plus, il est tellement facile d'empêcher que UPX marche correctement, t'as eu de la chance que -d fasse son boulot...
A l'opposé, j'aurai tendance à dumper PeCompact directement à son point d'entrée, vu que les imports seront très simples à cette étape de l'exécution, mais hélas, tous les outils que j'ai essayé (Rl!depack, deroko's generic, unpecompact) ce soir auraient quand même nécessité un ImportRec...
Mais au final, j'aurai rien dumpé du tout, vu qu'il est super rapide d'exécuter jusqu'au début de PeCompact (seule exception) , puis de le skipper...
step par step (enfin..)
ReplyDeleteupx je sais pas, j'ai toujours -d quand c'était possible
Il y a rien de bien compliqué sur celui la (aussi pour ça que je mis suis intéressé, je ne suis pas super fat en unpacking.
Pour les outils, j'ai essayé que QuickUnpack.
(cf mail)
ReplyDelete