Possibile shellcode spedito a me

1

Quando ho aperto la mia email questa mattina ho trovato un messaggio piuttosto strano nella mia casella di posta elettronica. Non sembrava la tua e-mail di spam ogni giorno dato che sembrava una stringa codificata in base64 e nient'altro. Ecco uno screenshot dell'e-mail:

Hoprovatoaeseguirlotramiteidecodificatoriedopoaverlodecodificatoinesadecimalel'hoeseguitotramiteunanalizzatoredimalwaresul questo sito Web e sembra possibile codice assembly.

C'è anche una strana intestazione nell'email: X-phsgyov: twxmjuo says , che fa sembrare che l'email sia stata creata.

La mia domanda è, qualcuno ha qualche conoscenza di cosa sia? C'è un collegamento pastebin di ciò che ho trovato finora qui .

    
posta Paradoxis 23.04.2015 - 10:36
fonte

1 risposta

1

Nella tua interpretazione del messaggio, stai eseguendo un passo che un computer non farebbe: stai assumendo che l'output del processo di decodifica base64 sia esadecimale con codifica ASCII e lo converta in binario prima di eseguire il processo di disassemblaggio. I primi byte del messaggio sono (nota: c'è una nuova riga prima di 5

571266161278423

con valori esadecimali

0a 35 37 31 32 36 36 31 36 31 32 37 38 34 32 33

che smonta a

0000: or    dh,(di)
0002: aaa
0003: xor   (bp:si),si
0005: seg   ss
0006: seg   ss
0007: xor   $3231,si
000b: aaa
000c: cmp   (si),dh
000e: xor   dh,(bp:di)

che è un'assurdità totale. Potrebbe esserci un significato nascosto nel messaggio, ma non è uno shellcode.

    
risposta data 23.04.2015 - 13:44
fonte

Leggi altre domande sui tag