jueves, 23 de febrero de 2012

Qhost II - Falsa postal Terra.


Volvemos con el famoso troyano que modifica el archivo .host de la PC con el fin de reenviarnos a un sitio de phishing.


En este caso afecta a Bancos de primera linea de Perú.


Vista del falso correo recibido.


Luego de clickear en el link nos descarga un ejecutable y nos redirige a la siguiente web.




Analizando el ejecutable en VT obtenemos el siguiente ratio de deteccion:
Detecciones: 9 / 42


SHA256: 778b37592c288a2446dcaaa5ee6a6d486b27e5858f6758d2d03a0db469632cd5
SHA1: ba3ac9191b93210a1ef45e979556c3344c8917cf
MD5: 4e7bd4039f7fb2701465f34fa7ea30df
Tamaño: 68.0 KB ( 69632 bytes )
Nombre: PostalesTerra-NA-018160084-update.exe
Tipo: Win32 EXE
Detecciones: 9 / 42
Fecha de análisis: 2012-02-23 15:23:32 UTC ( hace 2 minutos )


Esta programado en Visual Basic y su código no esta ofuscado.

Aquí vemos el nombre que tomara el troyano en el sistema.



C:\WINDOWS\system32\svhchost.exe  


Un nombre parecido al proceso svchost.exe para engañar a simple vista a los observadores desprevenidos.




Aquí vemos el archivo .host que sera modificado por el troyano.





Aquí vemos donde se conectara el troyano para descargar la configuración:



http://www.vanguardiabs.com.ar/home/wp-admin/maint/AHO4K0G7LSK726KBK234H3B63V3K/end/server.php

Se trata de un servidor comprometido, "hackeado" para alojar contenido malicioso.


Datos que serán descargados y agregados a nuestro .host


activado # Copyright (c) 1993-1999 Microsoft Corp. # # Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows. # # Este archivo contiene las asignaciones de las direcciones IP a los nombres de # host. Cada entrada debe permanecer en una línea individual. La dirección IP # debe ponerse en la primera columna, seguida del nombre de host correspondiente. # La dirección IP y el nombre de host deben separarse con al menos un espacio. # # # También pueden insertarse comentarios (como éste) en líneas individuales # o a continuación del nombre de equipo indicándolos con el símbolo "#" # # Por ejemplo: # # 102.54.94.97 rhino.acme.com # servidor origen # 38.25.63.10 x.acme.com # host cliente x 127.0.0.1 localhost 146.0.73.124 www.viabcp.com 146.0.73.124 viabcp.com 146.0.73.124 www.bn.com.pe 146.0.73.124 bn.com.pe







Eso es todo por hoy.... Saludos!





@Dkavalanche  2012



No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...