#30 pasa link si es bueno el enlace compi
Bueno pues no me fio ni un pelo. Seguramente esté pecando de precavido y sea un juego inofensivo, pero hay cosas demasiado raras y que para nada deberían de estar en un "videjuego"
GetCurrentProcess
GetCurrentProcessId
GetCurrentThread
GetCurrentThreadId
GetHandleInformation
IsDebuggerPresent
OpenProcess
OutputDebugStringA
RaiseException
SetSystemTime
TerminateProcess
VirtualProtect
VirtualQuery
No entiendo en qué momento un videojuego debería hacer llamadas a esas librerías. El juego está protegido mínimamente para no ser decompilado con facilidad (y ver su interior) y tiene técnicas anti-vmware. No funciona dentro de una máquina virtual así que no he podido detornarlo para ver realmente que hace el ejecutable.
Luego tiene funciones muy locas, como esta de antidebug o como una llamada directa a SetSystemTime, que es para cambiar la fecha/hora de nuestro equipo. La función está ahí y no tiene puto sentido. No he podido comprobar si el juego llama/ejecuta dicha función en algún momento porque, como he explicado, el juego tiene una autoprotección para que no lo ejecute en una máquina virtual, así que no estoy seguro. Lo que me abriría otra duda de: por qué incluyen funciones de sistema si luego no se van a ejecutar?
En fin, seguramente me esté flipando como de costumbre y sea un ejecutable legítimo, pero ahí dentro hay cosas raras de las que no me fío un pelo. Yo no lo pienso ejecutar.
#36 Entonces ¿recomiendas un formateo de SO si se ha ejecutado? Para evitar problemas?
Gracias por tu tiempo.
#37 Es que tampoco hay evidencias, sabes? No hay nada que me indique que sea malware al 100%, pero es que tampoco entiendo porque utiliza algunas de esas librerías.
Seguramente me esté colando que no veas, ya que también carga la librería de DirectX12, fijo que le doy doble click y se abre el Mario64... pero es que me sobran algunas cosas que hay ahí dentro. Y lo que más me hace sospechar es ese empeño en proteger su código y detectar debuggers.
Yo esperaría un par o 3 de días, que la comunidad lo destripe a fondo, a ver qué sale.
#36 Que has usado para analizarlo? Me entra la curiosidad xD
De todas formas, el codigo fuente está en github ready para compilar no?
#38 He leido por un sitio chapucero a uno que comenta lo siguiente:
Hace un par de syscalls indocumentadas.. Lo que sea que haya hecho necesitas un análisis mas en profundidad. Pero que vamos, consulta cadenas del registro que no debería en ningún caso y hace llamadas al kernel no documentadas.. Así que cualquier cosa puede estar haciendo..De hecho genera trafico de red.. Así que puede estar haciendo upload de algo o bien download. Mi recomendación..Formateo sin dilación.
Sinceramente, me fio mas de tu criterio.
Un saludo.
#39 Pues PEstudio no funciona en este ejecutable (muy raro de entrada), así que he desensamblado el ejecutable con IDA Pro y PE-Bear. No he podido analizar código dinámico ya que no lo puedo ejecutar en mi VM. Así que todo análisis estático, pero no le he dedicado más de 30 minutos y fijo que me he dejado cosas.
#40 Yo no he visto ninguna consulta al registro. De hecho no tiene las librerías típicas para hacer consultas al registro... (lo que no quita que se pueda hacer desde otros métodos, pero no sería en absoluto normal). Tampoco he visto librerías de red/winsock/tcp, pero whatever... quizás ese tío lo ha podido ejecutar en una máquina virtual? yo no he sido capaz.
#41 Basicamente lo que comenta en el chat del chapucero:
Lee claves relacionadas con el servicio de terminal (a menudo relacionadas con RDP)
detalles
"mario.exe" (Ruta: "HKLM \ SYSTEM \ CONTROLSET001 \ CONTROL \ TERMINAL SERVER"; Clave: "TSUSERENABLED")
fuente
Acceso al registro
Relevancia
10/10
Importa API sospechosas
detalles
IsDebuggerPresent
OpenProcess
UnhandledExceptionFilter
VirtualProtect
GetThreadContext
GetTickCount64
GetStartupInfoA
OutputDebugStringA
TerminateProcess
Sleep
GetTickCount
fuente
Analizador Estático
El que ha compilado ese binario le ha metido protecciones a mansalva para que no se pueda desensamblar y se pueda ver el código, Esas protecciones suelen ser de pago.. Cuando un binario comprueba en el registro si se esta usando una maquina virtual, o bien tienes activado el debuger en windows, etc.. suele ser para que cuando intentes desensablarlo para hacer un crack, etc.. el propio binario se corrompa y/o haga algo que te deje el pc roto.. Esto es una practica habitual en juegos.. El tema en este binario viene mas allá.. He analizado las llamadas que hace en tiempo real y hace llamadas al sistema, cosa que solo hacen drivers y procesos de windows. Estas llamas al sistema no las necesita absolutamente para nada, al igual que el trafico de red que genera, tanto de entrada como de salida.
No lo estoy mirando con un antivirus. Estoy usando programas específicos para hacer reverse engineering y advanced thread detection.
En resumen.. que me dedico a estas cosas y el "juego" tiene bicho. Así que si tienes cosas en tu pc que no quieras compartir con otras personas... Formatea
60 o más fps, mods sin limite alguno ya que el código fuente es público, podrian hacer un creador de niveles, multijugador online, etc...
Si la comunidad se lo curra esto puede ser muuuy gordo
Si han hecho una maravilla como esa con emuladores y ROMs, con una versión de PC con el código fuente puede ser una cerdada
#36 a mi me ha funcionado en el sandbox de Windows 10
Evidentemente supongo que me fío de tu palabra tendré que formatear
Puede hacer cosas malas incluso sin pedir acceso elevado?
#46 Thanks, no estoy muy familiarizado con esa compresion que trae el archivo. Me sacas del .rar y el .zip y me pierdo.
Tocará esperar a que la comunidad lo destripe por completo para tocarlo
#47 Yo no las tengo todas con lo del format... no he visto nada relacionado con malware, simplemente cosas que no tocaría hacer en mitad de un juego.
Yo esperaría a que la comunidad hable, quizás el tío que lo ha hecho ha metido esas librerías y funciones para hacer pruebas o yo que sé.
#51 No he visto nada todavía, imagino que en reddit empezarán a salir cosillas. Ya os aviso por aquí, np
#42 ¿Y hasta qué punto puede acceder a cualquier cosa sin permisos de administrador? ¿Y cual de esas API sospechosas indica que envíe algún tipo de dato?
#56 Pues depende de lo que haga churra, piensa que puede no hacer nada o follarte el SO, depende de la pasta o exploits que tenga el creador y sus intenciones xd
Yo lo he ejecutado y al menos minar no mina XD de hecho puede que no sea nada.
Los antivirus que he pasado no detectan nada de nada
#59 No es moco de pavo coger un juego diseñado a 30fps y compilarlo a 60fps esperando que todo funcione como debería.
Te pongo ejemplos con darksouls. Los primeros parches a 60fps dejaban el juego roto, te caías de las escaleras, animaciones desincronizadas, hitboxes se iban a la M, etc...
Teniendo el código nativo, como es el caso, y con algo de tiempo y mimo, se debería poder portar todo a 60fps, arreglando esos glitches de sincronización. Pero como digo, no es nada sencillo.
#56 No lleva ningún exploit conocido para elevación de privilegios, así que a tu primera pregunta: bastante improbable.
No hay ninguna API visible que sea sospechosa de enviar ningún dato. Tampoco librerías de red ni nada similar. Carga las funciones típicas de C fget, fopen, fwrite, pero no he visto llamadas a dichas funciones. Imagino que las tiene cargadas por el propio compilador de vc+++
Me lo he vuelto a mirar un rato más, y sigo sin ver nada relevante de malware, pero yo que sé... hasta que no puedo correrlo en una VM pues tampoco me quedaré tranquilo del todo