Hoy volvemos con el Troyano Dorkbot, esta vez utilizando una cadena de cines muy importante a nivel mundial, aplicando ingeniería social para engañar a los incautos.
Este troyano puede robar passwords de Hotmail, Yahoo, Gmail, Twitter, Facebook, etc.
Como así también hacer pharming y enviar a las victimas a sitios de phishing para robar datos bancarios.
Link: hxxp://176.31.81.132/cinemark.cl/promocion-auto-cinemark.exe
Análisis con Virus Total, vemos que tiene un indice de detección bajo.
Inspeccionando con un editor hexadecimal se puede comprobar que esta compactado con UPX el cual fue modificado para dificultar su desempaquetado, por lo que tenemos que hacerlo en forma manual.
El desempaquetado manual no es ninguna ciencia, pueden verlo por aquí: Manual Unpacking UPX Packed file + Fix IAT
Luego del desempaquetado podemos observar que se trata de un DorkBot / NgrBot.
Nombre que tendrá en el sistema el bot.
C:\Program Files\Common Files\dgwxqncxg.exe
Comunicación:
NICK n{FR|XPa}amdjjno
USER amdjjno 0 0 :amdjjno
:001 irc.perrorlzz.org
002 002 002
003 003 003
004 004 004
005 005 005
005 005 005
005 005 005
PING 422 MOTD
JOIN #ROCK ngrBot
:n{FR|XPa}amdjjno!amdjjno@LRouen-152-83-12-21.w80-13.abo.wanadoo.fr JOIN :#ROCK
Pharming de Entidades Bancarias:
www.bci.cl 37.59.93.152
bci.cl 37.59.93.152 bcinova.cl 37.59.93.152 www.bcinova.cl 37.59.93.152 ww3.bancochile.cl 37.59.93.152 bancochile.cl 37.59.93.152 ww2.bancochile.cl 37.59.93.152 www.bancochile.cl 37.59.93.152
Configuración en: hxxp://www.jdkim.com/bbs/icon/dos.txt
Actualización del bot: hxxp://www.jdkim.com//bbs/icon/52upjmrlzz.exe
Dns rlz1jmv.info (informa la ip del IRC - 216.144.250.48/5236 )
Conectado a mano con un cliente IRC, se puede observar la configuración que esta informando el botmaster sin necesidad de infectar una pc y sniffear el trafico.
IP:Port del IRC : 216.144.250.48/5236
Password del canal : ROCKER
Canal : #ROCK ngrBot
Eso es todo por el momento.
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario