Un lector me reporto la web en cuestión, debido a que luego de visitarla su AV le detecto un troyano.
Utilizando Malzilla, observamos el script malicioso y la direccionamiento a otro sitio que
mediante un exploit kit nos descarga un troyano en la PC.
Las Imágenes:
Cargado del Script en el Decoder de Malzilla para luego ejecutar el script, vemos que lo decodifica en un iframe con la URL hxxp://shockingrates.com/mind/in.cgi?6
Cargando hxxp://shockingrates.com/mind/in.cgi?6 en el malzilla y dependiendo del agente que elijamos nos redirige a otro sitio malicioso.
El sitio nos carga un script codificado.
Se trata de un exploit kit que dependiendo del navegador intentara explotar alguna vulnerabilidad.
Como resultado nos dirige a hxxp://testingmay.com/l/r.php?f=182b5&e=2 efectuando la descarga del troyano
Descarga.
Análisis del troyano con Comodo
http://camas.comodo.com/cgi-bin/submit?file=3066a8d336e5984cf9a2a896d3fb398d01a73a4f66a37765fb17e113a799896d
Analisis de VT
Drweb.com Threat: BackDoor.Maxplus.4956
Fortinet Threat: W32/Kryptik.AB!tr
AVIRA Threat: TR/Crypt.XPACK.Gen
Eso es todo por el momento.
@Dkavalance 2012
No hay comentarios:
Publicar un comentario