viernes, 18 de mayo de 2012

Web www.comercioexterior.org.ar con script malicioso.


Un lector me reporto la web en cuestión, debido a que  luego de visitarla su AV le detecto un troyano.


Utilizando Malzilla, observamos el script malicioso y la direccionamiento a otro sitio que
mediante un exploit kit nos descarga un troyano en la PC.


Las Imágenes:

Cargado del Script en el Decoder de Malzilla para luego ejecutar el script, vemos que lo decodifica en un iframe con la URL hxxp://shockingrates.com/mind/in.cgi?6


Cargando hxxp://shockingrates.com/mind/in.cgi?6 en el malzilla y dependiendo del agente que elijamos nos redirige a otro sitio malicioso.



El sitio nos carga un script codificado.


Se trata de un exploit kit que dependiendo del navegador intentara explotar alguna vulnerabilidad.
 Como resultado nos dirige a hxxp://testingmay.com/l/r.php?f=182b5&e=2 efectuando la descarga del troyano

Descarga.





Análisis del troyano con Comodo

http://camas.comodo.com/cgi-bin/submit?file=3066a8d336e5984cf9a2a896d3fb398d01a73a4f66a37765fb17e113a799896d



Analisis de VT





Drweb.com Threat: BackDoor.Maxplus.4956
Fortinet  Threat: W32/Kryptik.AB!tr
AVIRA     Threat: TR/Crypt.XPACK.Gen





Eso es todo por el momento.

@Dkavalance 2012





1 comentario:

Blogger dijo...

Bluehost is one of the best hosting company for any hosting plans you require.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...