martes, 12 de junio de 2012

Dorkbot - Pineda Pedofilo y Gay.


  Un nuevo intento de atrapar incautos utilizando ingeniería social, la verdad no salgo de mi asombro...










Primera capa de UPX modificado.






C:\Program Files\Common Files\drlwszvxbeo.exe

DNS Query Text
api.wipmania.com IN A +
6699x.in IN A +
• HTTP Queries
HTTP Query Text
api.wipmania.com GET / HTTP/1.1

Análisis de Comodo.

http://camas.comodo.com/cgi-bin/submit?file=f246dde25ca8020e118308d5a436349c9484814fea3467689d40e50174a77d4c


GET / HTTP/1.1

User-Agent: Mozilla/4.0
Host: api.wipmania.com


HTTP/1.1 200 OK
Server: nginx
Date: Mon, 11 Jun 2012 18:30:45 GMT
Content-Type: text/html
Content-Length: 17
Connection: close
Set-Cookie: uid=xw/qB0/WOVU+onp/EwtHAg==; expires=Thu, 31-Dec-37 23:55:55 GMT; domain=.wipmania.com; path=/


80.13.75.21
FR

Dumpeado con Ollydbg.






Aquí vemos como DorkBot infecta una unidad USB, crea una carpeta Recycled dentro de ella coloca una copia del troyano, luego oculta las carpetas que tengamos en la unidad usb, y creara accesos directos al troyano con el mismo nombre que nuestras carpetas.









Muestra: http://www.mediafire.com/?7spi4c3zaoktmgt




Podan encontrar el binario original, el binario sin UPX y el dump.




Es todo por el momento.




@Dkavalance    2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...