Regresamos nuevamente con un troyano Qhost, que dicho de otra manera, este
se encarga de modificar el archivo .host de la PC, a los efectos de reenviarnos a un sitio
falso al invocar una web en particular.
En este caso, afecta a dos bancos de primera linea del Perú.
Vista del falso correo recibido.
Luego de clickear en el link nos descarga un ejecutable.
(con pequeña falta de ortografía...en el url)
SHA256: 41fe03a661338066c3e51e040a8dd47df442bc3789902ea23695ee839178b0a3
Nombre: video.exe
Detecciones: 0 / 43
Fecha de análisis: 2012-03-05 12:40:43 UTC ( hace 0 minutos )
Analizando el ejecutable vemos que modifica el .host, junto con la web donde descarga la configuración.
config:
http://www.ibvikings.com/roboots.txt
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
184.82.230.186 www.bn.com.pe
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
184.82.230.186 bn.com.pe
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
184.82.230.186 www.viabcp.com
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
184.82.230.186 viabcp.com
Como vemos, el pharming esta entrelazado entre los comentarios del archivo .host para
despistar a las miradas inexpertas o poco observadoras.
Eso es todo por hoy.... Saludos!
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario