Hoy leo en este blog, un interesante artículo sobre una nueva técnica de ofuscación para evitar los detectores de malware.
La técnica, que utiliza JavaScript, funciona de la siguiente forma:
1. Consultar la URL donde se almacena el script malicioso.
2. Recuperar su propia función y agregar el string de la URL.
3. Computar el CRC de la función con la URL agregada.
4. Desencriptar el código encriptado en el cuerpo del script usando el CRC computado como clave.
5. Ejecutar el código desencriptado usando la función eval().
De esta forma, el malware no podrá desencriptarse si la función está alterada o la URL es incorrecta. Por esto, si el analizador de malware sólo tiene un ejemplo del script, sin saber desde dónde fué descargado, éste no podrá reconocer las rutinas del malware, dado que necesita de la URL para poder desencriptarlo. Incluso, si el script se coloca en otro lugar distinto al "correcto", éste no podrá ser desencriptado.
skip to main |
skip to sidebar
Los artículos escritos para itfreekzone están licenciados bajo Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
Redes Sociales...
Páginas amigas
Secciones
Seguidores
Más Leído
- Instalación y configuración de OSSIM (alias "The Perfect Setup")
- Tips: recibir mensajes SMS online
- Listar usuarios, grupos y permisos desde línea de comandos en Windows
- Cracking passwords Windows y Active Directory
- Localizar físicamente dispositivos conectados a la red a partir de su IP o MAC
- Automatización de transferencias por SFTP
- Armar servidor de logging con rsyslog y configurar dispositivos para logging remoto
- Cómo crear un corrector ortográfico
- Cómo descifrar un hash MD5 online
- El arte de la inyección blind (MySQL)
Autores
Tags
articulos
seguridad
GNU/Linux
administracion
hacking
redes
programacion
Hacking Web
windows
debian
news
google
web
Active Directory
microsoft
monitoreo
Internet
ubuntu
XSS
cisco
links
software
HTML
JavaScript
autenticacion
kerberos
password
ranking
reviews
Firefox
OSSIM
apache
spam
unix
wireless
LDAP
SQL Injection
descolgado
shortcuts
IOS
Snort
Tips
php
python
worms
OpenLDAP
Windows XP
cross-site scripting
dispositivo
encripcion
herramientas
listas
scripts
troyanos
vulnerabilidades
MIT Kerberos
MySQL
SSH
buffer overflow
configuracion
humor
ssl
servers
AVG
Archivo del blog
-
►
2018
(1)
- ► septiembre (1)
-
►
2014
(11)
- ► septiembre (1)
-
►
2012
(9)
- ► septiembre (1)
-
►
2011
(31)
- ► septiembre (4)
-
►
2010
(66)
- ► septiembre (4)
-
▼
2009
(90)
- ► septiembre (7)
-
▼
junio
(22)
- news: nuevos números de spamming
- Utilidad para hackear passwords de Windows y Linux
- news: Técnica anti-análisis para scripts con malware
- Crear máquina virtual en CentOS usando Xen
- Reducir lista de tags en Blogger
- Top Supercomputadoras
- Internet con ZyXEL P-600 series en Linux
- news: SORBS se cierra
- Uso de memoria: Firefox vs Chrome vs Safari vs Opera
- Nuevo uso para las tarjetas gráficas de la mano de...
- shortcuts: 40 atajos en Linux
- Behind the Scenes: IRC
- Robando información del historial (sin usar JavaSc...
- Software Wars
- Bing, el más certero de los buscadores!
- sex + viagra + porn + drugs = SPAM!
- Unix cumplió 40!
- Links: programando en Python
- shortcuts: comandos en vi
- Problema -> Posible Solución
- Cloud Computing: dónde mierd* están mis datos???
- News: Microsoft pre-lanza "Bing" y Google prepara ...
itfreekzone licencia
Los artículos escritos para itfreekzone están licenciados bajo Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
0 comentarios:
Publicar un comentario