viernes, 30 de marzo de 2012

LANPeru - Felicitaciones !!! ha Ganado 2 pasajes a Punta Cana‏!

En el día de hoy recibí el siguiente e-mail con un gran premio de LAN Perú, se trata de otro phishing que descarga un troyano, el mismo se trata de la Botnet V0lks.



Analizamos con VirusTotal, y observamos un indice bajo de infecciones, por no decir nula.


Descargando la amenaza veo que esta ofuscada con un Crypter en Visual Basic, que es fácil de analizar.

Aquí se ven los strings que codifican la web donde se comunicara el BOT.


Queda como:

00417064     087A4100       DD _0134000.00417A08                     ;  UNICODE "687474703A2F2F6261746573696E72756C657A2E636F6D2F70726976382F"

http://batesinrulez.com/priv8/         <------ C&C 1

0041706C     947A4100       DD _0134000.00417A94                     ;  UNICODE "687474703A2F2F656C756C74696D6F77616368692E636F6D2F70726976382F"

http://elultimowachi.com/priv8/       <------ C&C 2

00417070     187B4100       DD _0134000.00417B18                     ;  UNICODE "687474703A2F2F7761636869747572726F636F6E726C7A2E636F6D2F70726976382F"

http://wachiturroconrlz.com/priv8/   <------ C&C 3

00417074     BC7B4100       DD _0134000.00417BBC                     ;  UNICODE "687474703A2F2F626F62797075746F636F6D2E636F6D2F70726976382F"

http://bobyputocom.com/priv8/      <------ C&C 4

00417098     087D4100       DD _0134000.00417D08                     ;  UNICODE "5C737663686F73742E657865"

\svchost.exe _             <------- nombre del .exe en el sistema





Aquí se ve como se llama el .php donde comunicara los datos.
También el User-Agent que tendrá el Bot, primordial para que el servidor C&C nos entregue los datos, sino no nos responde... :-)


Utilizando Tamper Data contra http://elultimowachi.com/priv8/bots.php

con User-Agent :

QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC

nos responde, a que entidades realiza pharming.

============================================= 
50.115.161.242 viabcp.com 
50.115.161.242 www.viabcp.com 
50.115.161.242 bn.com.pe 
50.115.161.242 www.bn.com.pe 
50.115.161.242 bbvabancocontinental.com 
50.115.161.242 www.bbvabancocontinental.com 
50.115.161.242 bbvacontinental.com 
50.115.161.242 www.bbvacontinental.com =============================================



Panel de la Botnet.




Es todo por el momento.






@DKavalanche



en

1 comentario:

David dijo...

Se que Lan tiene muy buenas promociones, y espero alguna vez poder ganar yo los pasajes. En este momento estoy averiguando para sacar Pasajes a Buenos Aires desde Neuquén para pasar las fiestas con mi familia

28 de diciembre de 2012, 19:48

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Troyano de Formulario II, Falso Comprobante de deposito. En el día de hoy, me acercaron un correo sospechoso, el cual  intentaba, median...
  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • ATARI ST Bootsector Virus
    Los primeros virus de boot sector aparecieron a mediados y fines de los 80 en lo que por aquel entonces eran las primeras computadoras que ...