viernes, 1 de junio de 2012

Ideas Claro: vOlk Botnet.


En el día de hoy me enviaron el siguiente correo falso de Ideas Claro el cual
descarga un troyano vOlk Botnet.

Afecta a entidades Bancarias del Perú.




Link : http://www.fishperusac.com/z8.sz.exe


Analizamos en V.T. con un indice bajo de detecciones:



Revisamos el binario y encontramos un .RAR en su interior.




Obtenemos el RAR y lo descomprimimos un nuevo ejecutable.





Lo analizamos en V.T.




Lo subo a comodo y obtenemos un pantallazo de lo que se trata.

http://camas.comodo.com/cgi-bin/submit?file=3faddbe02b410a13ba0dca3cbc7884adce534ff3d80245fa0c5297a317d1fe57



• DNS Queries
DNS Query Text
www.apestosin.info IN A +
• HTTP Queries
HTTP Query Text
www.apestosin.info POST /pr/bots.php HTTP/1.1


Verificamos que se trata de un troyano vOlks y el panel del C&C es el siguiente:





Y... para sorpresa... encontramos un panel muy interesante......




Luego haciendo un análisis dinámico (les debo el estático) verificamos a que entidades esta dirigido el pharming.


User-Agent: 753cda8b05e32ef3b82e0ff947a4a936 (del el troyano)

Si utilizan malzilla pueden obtener del servidor los datos del pharming.



199.167.197.176 www.bbvabancocontinental.com
199.167.197.176 bbvabancocontinental.com
199.167.197.176 www.viabcp.com
199.167.197.176 viabcp.com
199.167.197.176 www.financiero.com.pe
199.167.197.176 financiero.com.pe
199.167.197.176 www.mibanco.com.pe
199.167.197.176 mibanco.com.pe
199.167.197.176 www.scotiabank.com.pe
199.167.197.176 scotiabank.com.pe
199.167.197.176 www.bn.com.pe
199.167.197.176 bn.com.pe



Muestra del malware en http://www.mediafire.com/?ukrzfkbyjkjofus

password = infected

Eso es todo por el momento.


@Dkavalanche    2012








No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...