Reverse de HackTool 1

Avant d'utiliser un HackTool, un petit coup de reverse s'impose.
Histoire de voir si il ne fait pas autre chose que ce qu'il prétend.

Plus le soft est léger, mieux c'est: Choper une fonction piégée dans le reverse d'un .exe de 3Mo, c'est chaud.

Comme d'hab, toujours le méme séquencement des opérations:
-Identification d'une éventuelle compression/cryptage.
-Identification du Compilos utilisé.
-Passage à l'éditeur Hexa pour flairer le binaire, trouver les chaines de caractéres.
-Désassemblage.
-Isolation des fonctions clés.
-Si on veut récupérer du code, ou mieux comprendre la logique: Décompilation partielle.

En route, avec un éxécutable nommé AutoHack.exe (pas d'autre précision):

Identification RDG:

Le binaire étant compresser UPX standard, un petit coup de upx -d est tout est nickel:


Au passage, une fonction éclatante de HeXPlorer, la vision "Pixels" d'un Bin:


Ensuite, un passage sous IDA.
On remarque que l'engin tente une connextion "Null Session" avec la cible, puis essaye ensuite le Map du partage C$.
Il attaque donc la machine en NetBios.



Bon, histoire de confirmer, un petit tour du coté de RecStudio pour obtenir un source C approximatif de certaines fonctions:



Conclusion:

La béte ne fait pas que de chercher des partages ouverts sur la cible, mais semble également vouloir copier des chose dans les répertoires d' AutoStart.
Donc méfiance: Il faut absolument voir ce qui est envoyé, car c'est un mécanisme de propagation courant chez les Vers NetBios.
Donc prochaine étape: Lancement sur une Machine-Suicide VMWare isolée du réseau.

Krak.