Sample Files
The files that are available for download here are usually malware, please treat these files accordingly. Malicious samples are packed as zip or 7zip archives with the password infected.
[imp@mal.re /tmp/classes/hsbund-2025/]$ cat aufgabe7.md
Zur Untersuchtung steht das [NedDnLoader][] Asservat mit der folgenden SHA-256 Prüfsumme:
```
0fe796e1b7db725115a7de7ee8a56540f838305356b5de2f24de0883300e2c23
```
Zur Ausführung gebracht wurde diese DLL mit einem Befehl, der etwa wie folgt aussieht:
```
rundll32.exe desktop.dat, BZ2_bzZip S-2-20-8798-18246938-238138-0443 0 0 8000 1
```
Identifiziere die Algorithmen, die in den folgenden Funktionen implementiert sind:
1. `FUN_180005b40`. Einer der Kommandozeilenparameter oben wird von dieser Funktion in die Byte-Sequenz mit der folgenden Hex-Kodierung übersetzt:
```
80a001178482591b63753ee04ccdf517
```
2. `FUN_180002590`: Die oben genannte Byte-Sequenz wird an diese Funktion übergeben, zusammen mit einem Puffer der Länge `0x340`, welcher im Speicher bei `0x180026994` liegt.
3. Unter bestimmten Bedingungen (welche hier nicht gegeben sind), würde das Resultat dieser Operation dann an die folgende Funktion übergeben, welche hier mit vollständiger Signatur angegeben ist:
```
FUN_180004eb0(BYTE *Input, BYTE *Output, int InputLen, int OutputLen)
```
Die Datei `test.jpg.wat` kann dazu verwendet werden, die Analyseergebnisse zu validieren.
[NedDnLoader]: https://malpedia.caad.fkie.fraunhofer.de/details/win.neddnloader