En el día de hoy me enviaron el siguiente correo falso de Ideas Claro el cual
descarga un troyano vOlk Botnet.
Afecta a entidades Bancarias del Perú.
Link : http://www.fishperusac.com/z8.sz.exe
Analizamos en V.T. con un indice bajo de detecciones:
Revisamos el binario y encontramos un .RAR en su interior.
Obtenemos el RAR y lo descomprimimos un nuevo ejecutable.
Lo analizamos en V.T.
Lo subo a comodo y obtenemos un pantallazo de lo que se trata.
http://camas.comodo.com/cgi-bin/submit?file=3faddbe02b410a13ba0dca3cbc7884adce534ff3d80245fa0c5297a317d1fe57
• DNS Queries
| DNS Query Text |
|---|
| www.apestosin.info IN A + |
• HTTP Queries
| HTTP Query Text |
|---|
| www.apestosin.info POST /pr/bots.php HTTP/1.1 |
Verificamos que se trata de un troyano vOlks y el panel del C&C es el siguiente:
Y... para sorpresa... encontramos un panel muy interesante......
Luego haciendo un análisis dinámico (les debo el estático) verificamos a que entidades esta dirigido el pharming.
User-Agent: 753cda8b05e32ef3b82e0ff947a4a936 (del el troyano)
Si utilizan malzilla pueden obtener del servidor los datos del pharming.
199.167.197.176 www.bbvabancocontinental.com
199.167.197.176 bbvabancocontinental.com
199.167.197.176 www.viabcp.com
199.167.197.176 viabcp.com
199.167.197.176 www.financiero.com.pe
199.167.197.176 financiero.com.pe
199.167.197.176 www.mibanco.com.pe
199.167.197.176 mibanco.com.pe
199.167.197.176 www.scotiabank.com.pe
199.167.197.176 scotiabank.com.pe
199.167.197.176 www.bn.com.pe
199.167.197.176 bn.com.pe
Muestra del malware en http://www.mediafire.com/?ukrzfkbyjkjofus
password = infected
Eso es todo por el momento.
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario