Analyse dans le cas d’un binaire

1. Analyse de binaires développés en AutoItAutoIt

AutoIt est un langage de script. Les scripts AutoIt permettent d’automatiser des actions sous Windows. Ces scripts peuvent être compilés pour devenir des exécutables entièrement autonomes. L’avantage de ces binaires est qu’ils n’ont pas besoin d’utiliser un interpréteur AutoIt installé sur la machine où est exécuté le binaire.

Certains malwares sont développés avec AutoIt. Il est facile d’identifier les binaires compilés avec AutoIt car le compilateur ajoute la chaîne de caractères « This is a compiled AutoIt Script. » :

rootbsd@lab:~$ hd ccdd2ad254467516e0dd737216953d6b   
[...] 
00083880  49 00 53 00 45 00 00 00  4e 00 55 00 4c 00 4c 00  | I.S.E...N.U.L.L.| 
00083890  00 00 00 00 00 00 00 00  54 68 69 73 20 69 73 20  | ........This is | 
000838a0  61 20 63 6f 6d 70 69 6c  65 64 20 41 75 74 6f 49  |a compiled AutoI | 
000838b0  74 20 73 63 72 69 70 74  2e 20 41 56 20 72 65 73  |t script. AV res | 
000838c0  65 61 72 63 68 65 72 73  20 70 6c 65 61 73 65 20  | earchers please | 
000838d0  65 6d 61 69 6c 20 61 76  73 75 70 70 6f 72 74 40  |e-mail avsupport@| 
000838e0  61 75 74 6f 69 74 73 63  72 69 70 74 2e 63 6f 6d  | autoitscript.com| ...