miércoles, 25 de enero de 2012

Postal virtual con sorpresa...mmm y que sorpresa!


Las postales virtuales son un método utilizado frecuentemente por los cybercriminales para poder
engañar mediante ingeniería social a los desprevenidos e infectarlos con software malicioso.

En el día de hoy me llego un correo fraudulento que utiliza este tipo de ardid.






Si clickeamos cualquiera de los links nos llevara a otra pagina que simula ser una web de postales muy conocida..
Esta web requerirá instalar una nueva versión del adobe flash player para poder ver la postal, lo cual sin mas ni menos, se trata de un troyano.


















Link del php.
hxxp://photopaq.com/actualidad/actualizacion/adobe_flash/Adobe_flash_player.php

Download del troyano.
hxxp://photopaq.com/actualidad/actualizacion/adobe_flash/Adobe_flash_player.exe


El examen de Virus Total nos entrega el siguiente resultado:

SHA256: 3c719eb459876eee85556c3f2b3128c643584d9ec01c5a5c7871228e3a0af9df
Detection ratio: 13 / 42





Haciendo un examen mas exhaustivo en una V.M. con ayuda de OllyDbg y otras herramientas, llego a la conclusión que se trata de un troyano pertenece a la Botnet V0lks. 



0015FD04  62 00 79 00 76 00 4F 00  b.y.v.O.
0015FD0C  6C 00 6B                 l.k


0012FA04  |0015FC2C  ASCII "byvOlk"



Desencriptado de la URL del Control Panel de la Botnet, dentro del cuerpo del troyano:

0016002C  9D 07 18 00 5A 00 00 00   .Z...
00160034  68 00 74 00 74 00 70 00  h.t.t.p.
0016003C  3A 00 2F 00 2F 00 62 00  :././.b.
00160044  61 00 73 00 74 00 65 00  a.s.t.e.
0016004C  6E 00 79 00 63 00 68 00  n.y.c.h.
00160054  69 00 6E 00 6F 00 61 00  i.n.o.a.
0016005C  6D 00 6F 00 72 00 65 00  m.o.r.e.
00160064  73 00 66 00 6F 00 72 00  s.f.o.r.
0016006C  65 00 76 00 65 00 72 00  e.v.e.r.
00160074  2E 00 63 00 6F 00 6D 00  ..c.o.m.
0016007C  2F 00 49 00 6E 00 73 00  /.I.n.s.
00160084  74 00 50 00 61 00 6E 00  t.P.a.n.
0016008C  65 00 00 00              e...

C&C Bot Panel
http://bastenychinoamoresforever.com/InstPanel/















Modificaciones del Registro para auto-ejecutarse en cada inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru\Microsofts: "C:\WINDOWS\system\csrcs.exe"


El troyano una vez instalado en el sistema, se comunica con el C&C a la espera de comandos, uno de ellos es cambiar el archivo .host de la pc, para poder redireccionar al usuario a una web fraudulenta sin que este lo sepa. 
En este caso se efectúa un pharming sobre bancos del Perú.



Host Pharming.


199.119.226.67 viabcp.com.pe
199.119.226.67 www.viabcp.com.pe
199.119.226.67 www.viabcp.com
199.119.226.67 viabcp.com
199.119.226.67 bn.com.pe
199.119.226.67 www.bn.com.peBotVolk


Eso fue todo.

Hasta la próxima.

@Dkavalanche 2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...