lunes, 5 de marzo de 2012

Qhost III, Falso correo de Facebook.

Regresamos nuevamente con un troyano Qhost, que dicho de otra manera, este
se encarga de modificar el archivo .host de la PC, a los efectos de reenviarnos a un sitio
falso al invocar una web en particular.
En este caso, afecta a dos bancos de primera linea del Perú.


Vista del falso correo recibido.

Luego de clickear en el link nos descarga un ejecutable.
 (con pequeña falta de ortografía...en el url)


Analizamos en Virus Total y nos entrega un indice de detecciones de 0/43




SHA256: 41fe03a661338066c3e51e040a8dd47df442bc3789902ea23695ee839178b0a3
Nombre: video.exe
Detecciones: 0 / 43
Fecha de análisis: 2012-03-05 12:40:43 UTC ( hace 0 minutos )



Analizando el ejecutable vemos que modifica el .host, junto con la web donde descarga la configuración.



config:
http://www.ibvikings.com/roboots.txt


# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
            184.82.230.186   www.bn.com.pe
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
            184.82.230.186   bn.com.pe
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
            184.82.230.186   www.viabcp.com
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1       localhost
# ::1             localhost
            184.82.230.186   viabcp.com





Como vemos, el pharming esta entrelazado entre los comentarios del archivo .host para
despistar a las miradas inexpertas o poco observadoras.



Eso es todo por hoy.... Saludos!





@Dkavalanche  2012









No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...