Continua siendo la ingeniería social el arma principal para el engaño y la diseminación
de amenazas. En este caso analizamos un troyano que modifica el archivo .host de la PC
para llevarnos a un sitio de phishing.
Analizando en VT encontramos un bajo indice de detecciones:
| SHA256: | 01108dbc641591efca587877c349cc01a24b44179346ca7625ca617f02b400b0 |
| Nombre: | Ver_Mensaje.exe |
| Detecciones: | 3 / 43 |
Con un editor hexadecimal se puede observar que esta programado en VBasic.
Descompilando vemos que utiliza técnicas de ofuscación de lo strings principales.
La ofuscación esta realizada con el algoritmo de Rijndael
Cadena encriptada:
loc_402079: push "H5i9IiOcitXfsUVzyoF058J1wButApBPYULQZVm462I6y3aLa3e+cZ8YCAXs5rxS"
Desencriptada:
// C:\Windows\system32\drivers\etc\hosts
Cadena encriptada:
loc_402088: push "TWiJo7XHZSjYzyG+nIiVOzpKsenN64qc4FtgTNkdpYlE1Myumxc8iF2cPO0gtkBh"
Desencriptada: (config)
//http://bcjonesonline.com/phproc/robots.txt
Cadena autorun del registro
loc_4027F8: push "RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1"
//SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nombre que tendrá la Key
loc_402813: push "SREx6AH46GDoX7WfhupLlBNznl/FOyeLcZWIN03rBMI="
// Windows Defender
Nombre que tendrá el troyano en el sistema
"guTJKkDAP3Mk5rJMICtFTAuDI6R5x+KmEeZHRAeEz4actJHD+uRnvtFgElgLXbtE"
//c:\windows\System32\drivers\csrss.exe
# Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # 184.82.230.187 bn.com.pe # host cliente x # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # 184.82.230.187 www.bn.com.pe # host cliente x # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 184.82.230.187 www.viabcp.com # host cliente x # localhost name resolution is handled within DNS itself. 127.0.0.1 localhost # localhost name resolution is handled within DNS itself. 184.82.230.187 www.viabcp.com # host cliente x # ::1 localhost
Se puede observar que el defraudador cargo la IP del sitio de phishing en el config (pagina web hackeada para tal fin)
Eso es todo por el momento.
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario