Con la única pista que nos dan: @blue_shad0w_ , se busca información en San Google. Se encuentra un perfil en Twitter, que tiene posteados nada más y nada menos que 58 tweets compuestos de cadenas de 0’s y 1’s.
La primera impresión es que nos encontramos ante un programa codificado en binario, que debe ser transformado para que podamos ejecutarlo.
Para comprobarlo, se decide a coger el primer tweet publicado -por tanto el más antiguo-, porque si la intuición no falla dicha parte contendrá el magic number del fichero. Con lo cual podremos saber contra que nos enfrentamos
Los pasos para la transformación serían:
1.- Copiar y pegar la primer cadena de 0’s y 1’s en un archivo
2.- Transformar los 0’s y 1’s anteriores a formato hexadecimal.
Para ello yo he utilizado el siguiente código.
3.- Tras obtener la cadena en hexadecimal, ahora debemos pasarla a un formato “ejecutable”, para ello utilizaremos la herramienta: xxd, con los parámetros: -ps (output in postscript plain hexdump style.) y –r (reverse operation: convert (or patch) hexdump into binary.).
Ahora sólo tenemos que ejecutar el comando: file o abrir el fichero resultante para saber, a través del magic number, de que se trata.
¡Perfecto!, la intuición no nos ha fallado, tenemos un fichero: ELF, que no es otra cosa que un fichero ejecutable en sistemas *NIX.
Ahora nos toca hacer lo mismo pero con todas la cadenas de 0’s y 1’s puestas unas detrás de las otras.
Una vez realizado esto, se
procede a ejecutar el archivo obtenido.
¡Nada!, pero … tenemos una pista, ¡necesitamos el antídoto!
Buscamos entre las cadenas del propio programa el antídoto, para lo cual utilizamos el comando: strings
No parece que las cadenas de texto del ejecutable no muestren información sobre el antivirus, pero dan información. Entre esta información, nos dice que necesitamos pasarle algo como parámetro, que con absoluta seguridad comparara con algo y si coinciden nos dará nuestro tesoro.
Pasamos a bucear por Internet, en dicho universo encontramos referencia de un episodio de Stars Wars denominado: “Blue Shadow Virus”, en donde se habla de su antídoto: reeksa roots (raíces de reeksa). Se decide probar con ello.
¡Vaya!, hemos obtenido nuestro premio
A862BC50162B5BFA6ED8167898E843E4
Ahora solo hay que añadir el formato adecuado y probarlo.
En cualquier caso
Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia
