#Dr. Avalanche Labs

martes, 27 de marzo de 2012

Qhost V - Falso mensaje MMS de CLARO.

Los troyanos Qhost están a la orden del día, esta vez con un falso
mail de la empresa CLARO con un supuesto mensaje multimedia mms.
Pero un mms enviado a un mail??? que loco, que inventiva estos muchachos.

Afecta a dos bancos Peruanos.

hxxp://neobayumedispa.com.my/promotions/SMSClaro/SMS_Claro.php

hxxp://neobayumedispa.com.my/promotions/SMSClaro/SMS.exe

Contador de Descargas del troyano.

https://www.virustotal.com/file/2f47e979b08a4e45df6129aa1475e8256e6cf7f0806b81d45583b2c2e16670d7/analysis/1332804133/

Análisis en VT con un indice muy bajo de detecciones.

Analizando el troyano encuentro que utiliza el mismo método de ofuscación de strings.
ver caso: http://oberheimdmx.blogspot.com.ar/2012/03/qhost-iv-falso-video-de-facebook.html

Plaintext : guTJKkDAP3Mk5rJMICtFTAuDI6R5x+KmEeZHRAeEz4actJHD+uRnvtFgElgLXbtE
Decrypted : c:\windows\System32\drivers\csrss.exe

Plaintext : RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1
Decrypted : SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Plaintext : H5i9IiOcitXfsUVzyoF058J1wButApBPYULQZVm462I6y3aLa3e+cZ8YCAXs5rxS
Decrypted : C:\Windows\system32\drivers\etc\hosts

Plaintext : lMuzuOWq2tMrbA8JWGtT6PTEHqYWty4aPdgYsZ9lPb8OFNiJ2pWwpsk3soS3S8Q

Decrypted : http://www.d-apothek.de/robots.txt

(sitio web hackeado para descargar la configuración)

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
184.82.230.187 www.bn.com.pe
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
184.82.230.187 bn.com.pe
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
184.82.230.187 www.viabcp.com
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
184.82.230.187 viabcp.com

Eso es todo por hoy.

@Dkavalanche 2012

No hay comentarios:

Publicar un comentario