viernes, 18 de mayo de 2012

Web www.comercioexterior.org.ar con script malicioso.


Un lector me reporto la web en cuestión, debido a que  luego de visitarla su AV le detecto un troyano.


Utilizando Malzilla, observamos el script malicioso y la direccionamiento a otro sitio que
mediante un exploit kit nos descarga un troyano en la PC.


Las Imágenes:

Cargado del Script en el Decoder de Malzilla para luego ejecutar el script, vemos que lo decodifica en un iframe con la URL hxxp://shockingrates.com/mind/in.cgi?6


Cargando hxxp://shockingrates.com/mind/in.cgi?6 en el malzilla y dependiendo del agente que elijamos nos redirige a otro sitio malicioso.



El sitio nos carga un script codificado.


Se trata de un exploit kit que dependiendo del navegador intentara explotar alguna vulnerabilidad.
 Como resultado nos dirige a hxxp://testingmay.com/l/r.php?f=182b5&e=2 efectuando la descarga del troyano

Descarga.





Análisis del troyano con Comodo

http://camas.comodo.com/cgi-bin/submit?file=3066a8d336e5984cf9a2a896d3fb398d01a73a4f66a37765fb17e113a799896d



Analisis de VT





Drweb.com Threat: BackDoor.Maxplus.4956
Fortinet  Threat: W32/Kryptik.AB!tr
AVIRA     Threat: TR/Crypt.XPACK.Gen





Eso es todo por el momento.

@Dkavalance 2012





en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Troyano de Formulario II, Falso Comprobante de deposito. En el día de hoy, me acercaron un correo sospechoso, el cual  intentaba, median...
  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • ATARI ST Bootsector Virus
    Los primeros virus de boot sector aparecieron a mediados y fines de los 80 en lo que por aquel entonces eran las primeras computadoras que ...