viernes, 16 de marzo de 2012

Qhost IV - Falso video de Facebook.


Continua siendo la ingeniería social el arma principal para el engaño y la diseminación 
de amenazas. En este caso analizamos un troyano que modifica el archivo .host de la PC
para llevarnos a un sitio de phishing.




Analizando en VT encontramos un bajo indice de detecciones:


SHA256:01108dbc641591efca587877c349cc01a24b44179346ca7625ca617f02b400b0
Nombre:Ver_Mensaje.exe
Detecciones:3 / 43




Con un editor hexadecimal se puede observar que esta programado en VBasic.

Descompilando vemos que utiliza técnicas de ofuscación de lo strings principales.

La ofuscación esta realizada con el algoritmo de Rijndael


Cadena encriptada:
  loc_402079: push "H5i9IiOcitXfsUVzyoF058J1wButApBPYULQZVm462I6y3aLa3e+cZ8YCAXs5rxS"

Desencriptada:
// C:\Windows\system32\drivers\etc\hosts

Cadena encriptada:
  loc_402088: push "TWiJo7XHZSjYzyG+nIiVOzpKsenN64qc4FtgTNkdpYlE1Myumxc8iF2cPO0gtkBh"

Desencriptada: (config)
//http://bcjonesonline.com/phproc/robots.txt

Cadena autorun del registro

  loc_4027F8: push "RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1"
//SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Nombre que tendrá  la Key
  loc_402813: push "SREx6AH46GDoX7WfhupLlBNznl/FOyeLcZWIN03rBMI="
// Windows Defender

Nombre que tendrá el troyano en el sistema
"guTJKkDAP3Mk5rJMICtFTAuDI6R5x+KmEeZHRAeEz4actJHD+uRnvtFgElgLXbtE"
//c:\windows\System32\drivers\csrss.exe





# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
 184.82.230.187  bn.com.pe  # host cliente x
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
 184.82.230.187  www.bn.com.pe  # host cliente x
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 184.82.230.187  www.viabcp.com  # host cliente x
 
# localhost name resolution is handled within DNS itself.
 127.0.0.1       localhost
# localhost name resolution is handled within DNS itself.
 184.82.230.187 www.viabcp.com  # host cliente x
# ::1             localhost


Se puede observar que el defraudador cargo la IP del sitio de phishing en el config (pagina web hackeada para tal fin)




Eso es todo por el momento.


@Dkavalanche 2012



No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...