Un article qui vaut le coup d’œil sur le blog de SpiderLabs :
Après avoir reçu un bête spam avec un lien vers un exécutable, le chercheur de chez SpiderLabs s’est lancé dans son analyse.
Une fois qu’il a découvert que le binaire était un keylogger commercial, il a réussi à décoder le fichier de config du keylogger et extraire les identifiants FTP du spammeur ainsi que son nom probable :p
Les résultats du tournoi IOCCC 20ème édition ont été publiés.
L’occasion de se rappeler qu’on peut faire des trucs de fou en juste quelques lignes de C.
Un petit faible pour le programme zucker qui génère des images comme celle du logo de la page IOCCC en utilisant juste stdio.h et math.h
Via Hacker News :
Circa est un nouveau langage de programmation qui vous donnera sans doute une impression de déjà vu (notamment pour les dev Python) du coup il devrait être simple à prendre en main.
Pour les détails, tout est expliqué sur le site officiel.
A lire sur un blog Epita, un article sur l’analyse de fichiers compressés afin de déterminer quel algo de compression était utilisé.
Le ver Duqu considéré comme un remake de Stuxnet fait à nouveau parler du lui.
On savait que ce malware mystérieux semble être écrit par des fans de la série TV Dexter, en revanche on ne sait pas comment il a été réellement été assemblé.
En effet, dans un billet sur leur blog, Kaspersky demande de l’aide aux programmeurs pour essayer de déterminer dans quel langage de programmation aurait été écrit la DLL qui s’occupe de différentes opérations (principalement de communication avec le C&C).
A première vu le code est du C++ compilé avec Visual Studio… pourtant une section de code semble provenir d’ailleurs et a du être compilé dans un langage différent de C++ mais tout de même objet…
De nombreux langages ont été testés et aucun ne semble correspondre même si de nouvelles pistes sont proposées en commentaire de l’article.
Kaspersky n’est pour le moment pas revenu sur cette question, sans doute le temps d’approfondir certaines suggestions.
Via Zero Day
EDIT :
Il s’agirait finalement d’un framework Objective-Oriented C home-made du style SOOC.
Voir l’article de Kaspersky ou ThreatLevel, ArsTechnica
Publication le 11/03, mise à jour le 20/03
Via SANS ISC :
Le site Malware Cookbook vous permettra de récupérer un tas de scripts utiles pour l’analyse de malwares.
Ça devrait intéresser plus d’un reverser.
Via SANS Storm Center :
Une nouvelle version de la Cuckoo Sandbox, une sandbox pour l’analyse de malware, est disponible (version 0.3).
Le changelog est ici.
Via Lenny Zeltser :
Une nouvelle version de REMnux, la distrib Linux orientée reverse-engineering, est disponible.
On y trouve le framework Volatility, des outils d’analyse de fichiers PDF, des dé-obfuscateurs javascript, la librairie Hachoir de Haypo ainsi que RABCDAsm (Robust Actionscript ByteCode DisAssembler), une appli pour désassembler du swf (à tester).
Via TheRegister :
Vous avez peut-être entendu récemment parler du challenge Can You Crack It qui sert de vitrine de recrutement au gov britannique.
Il faut dire qu’une simple recherche Google permettait d’accéder à la page de réussite du challenge… c’est ballot !
Mais le challenge en lui même est intéressant et vous trouverez une solution instructive sur ce blog 
Le code affiché sur le site du challenge est en fait de l’assembleur (le “eb” aurait du me faire tilter :p) mais il y a encore bien des étapes avant d’arriver au final.
Avis aux m4d l33t c0d3rZ en tout genre : une nouvelle édition du concours IOCCC est organisée.
L’objectif : récompenser celui ou celle qui aura réussi à générer le code C offusqué le plus surprenant, amusant ou autre…
Il ne suffit pas de cracher du code illisible, il y a des règles à suivre.
Vous pouvez aussi naviguer sur la page des concours précédents pour avoir une idée des codes soumis.