martes, 27 de marzo de 2012

Qhost V - Falso mensaje MMS de CLARO.




Los troyanos Qhost están a la orden del día, esta vez con un falso
mail de la empresa CLARO con un supuesto mensaje multimedia mms.
Pero un mms enviado a un mail??? que loco, que inventiva estos muchachos.


Afecta a dos bancos Peruanos.



hxxp://neobayumedispa.com.my/promotions/SMSClaro/SMS_Claro.php

hxxp://neobayumedispa.com.my/promotions/SMSClaro/SMS.exe


Contador de Descargas del troyano.




https://www.virustotal.com/file/2f47e979b08a4e45df6129aa1475e8256e6cf7f0806b81d45583b2c2e16670d7/analysis/1332804133/



Análisis en VT con un indice muy bajo de detecciones.


Analizando el troyano encuentro que utiliza el mismo método de ofuscación de strings.
ver caso: http://oberheimdmx.blogspot.com.ar/2012/03/qhost-iv-falso-video-de-facebook.html









Plaintext : guTJKkDAP3Mk5rJMICtFTAuDI6R5x+KmEeZHRAeEz4actJHD+uRnvtFgElgLXbtE
Decrypted : c:\windows\System32\drivers\csrss.exe


Plaintext : RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1
Decrypted : SOFTWARE\Microsoft\Windows\CurrentVersion\Run




Plaintext : H5i9IiOcitXfsUVzyoF058J1wButApBPYULQZVm462I6y3aLa3e+cZ8YCAXs5rxS
Decrypted : C:\Windows\system32\drivers\etc\hosts




Plaintext : lMuzuOWq2tMrbA8JWGtT6PTEHqYWty4aPdgYsZ9lPb8OFNiJ2pWwpsk3soS3S8Q
Decrypted : http://www.d-apothek.de/robots.txt

(sitio web hackeado para descargar la configuración)







# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
            184.82.230.187   www.bn.com.pe
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
            184.82.230.187   bn.com.pe
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
            184.82.230.187   www.viabcp.com
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1       localhost
# ::1             localhost
            184.82.230.187   viabcp.com







Eso es todo por hoy.

@Dkavalanche  2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...