viernes, 30 de marzo de 2012

LANPeru - Felicitaciones !!! ha Ganado 2 pasajes a Punta Cana‏!

En el día de hoy recibí el siguiente e-mail con un gran premio de LAN Perú, se trata de otro phishing que descarga un troyano, el mismo se trata de la Botnet V0lks.



Analizamos con VirusTotal, y observamos un indice bajo de infecciones, por no decir nula.


Descargando la amenaza veo que esta ofuscada con un Crypter en Visual Basic, que es fácil de analizar.

Aquí se ven los strings que codifican la web donde se comunicara el BOT.


Queda como:

00417064     087A4100       DD _0134000.00417A08                     ;  UNICODE "687474703A2F2F6261746573696E72756C657A2E636F6D2F70726976382F"

http://batesinrulez.com/priv8/         <------ C&C 1

0041706C     947A4100       DD _0134000.00417A94                     ;  UNICODE "687474703A2F2F656C756C74696D6F77616368692E636F6D2F70726976382F"

http://elultimowachi.com/priv8/       <------ C&C 2

00417070     187B4100       DD _0134000.00417B18                     ;  UNICODE "687474703A2F2F7761636869747572726F636F6E726C7A2E636F6D2F70726976382F"

http://wachiturroconrlz.com/priv8/   <------ C&C 3

00417074     BC7B4100       DD _0134000.00417BBC                     ;  UNICODE "687474703A2F2F626F62797075746F636F6D2E636F6D2F70726976382F"

http://bobyputocom.com/priv8/      <------ C&C 4

00417098     087D4100       DD _0134000.00417D08                     ;  UNICODE "5C737663686F73742E657865"

\svchost.exe _             <------- nombre del .exe en el sistema





Aquí se ve como se llama el .php donde comunicara los datos.
También el User-Agent que tendrá el Bot, primordial para que el servidor C&C nos entregue los datos, sino no nos responde... :-)


Utilizando Tamper Data contra http://elultimowachi.com/priv8/bots.php

con User-Agent :

QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC

nos responde, a que entidades realiza pharming.

============================================= 
50.115.161.242 viabcp.com 
50.115.161.242 www.viabcp.com 
50.115.161.242 bn.com.pe 
50.115.161.242 www.bn.com.pe 
50.115.161.242 bbvabancocontinental.com 
50.115.161.242 www.bbvabancocontinental.com 
50.115.161.242 bbvacontinental.com 
50.115.161.242 www.bbvacontinental.com =============================================



Panel de la Botnet.




Es todo por el momento.






@DKavalanche



1 comentario:

David dijo...

Se que Lan tiene muy buenas promociones, y espero alguna vez poder ganar yo los pasajes. En este momento estoy averiguando para sacar Pasajes a Buenos Aires desde Neuquén para pasar las fiestas con mi familia

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...