Qhost utiliza rutina XOR II
En el día de hoy volvieron a enviar el mismo troyano analizado aqui, esta vez con las Urls donde busca la
configuración del pharming sin codificación.
Malware alojado en un sitio hackeado. hxxp://www.sicmaconsultora.com.ar/inc/videos/VDTD003235.exe
Puede verse a simple vista las URLs donde ira a buscar los datos del pharming:
hxxp://www.autorataharrastajat.fi/images/Flexit.php
hxxp://guiadesanborja.com/multiprinter/gallery/4/8s.php
Encontramos un bajo indice de detecciones.
El ejecutable esta programado en Visual Basic.
Length Of Struc: 0250h
Length Of Value: 0034h
Type Of Struc: 0000h
Info: VS_VERSION_INFO
Signature: FEEF04BDh
Struc Version: 1.0
File Version: 1.0.0.0
Product Version: 1.0.0.0
File Flags Mask: 0.0
File Flags:
File OS: WINDOWS32
File Type: APP
File SubType: UNKNOWN
File Date: 00:00:00 00/00/0000
Struc has Child(ren). Size: 500 bytes.
Child Type: VarFileInfo
Translation: 3082/1200
Child Type: StringFileInfo
Language/Code Page: 3082/1200
CompanyName: KIKIRIKI
LegalTrademarks: copyrigth
ProductName: Formulario de pago
FileVersion: 1.00
ProductVersion: 1.00
InternalName: mar
OriginalFilename: mar.exe
Con un BP en la rutina de decodificación de los strings, se pueden ir observando como estos son decodificados.
String:
6DB763761F6F6B0264B0796201606C086BB97A7C0F65701664AE63730D4A47334A8F4949347F73284B984958337F6734578E434134754133569549411C71512F79AC65622F4D4D354A8E
Decodifica:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PCMonitor
6DB763761F6F6B0264B0796201606C086BB97A7C0F65701664AE63730D4A47334A8F4949347F73284B984958337F6734578E434134754133569549411C734B2D4C9F4F4A337F7738568843421C664A20479043631562
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA
66C67A78294D402E528F7A4B335449320B995E4A
C:\Windows\dswms.exe
798F5F5C3446497217A0425D2955413356A0435B237F4C2E568855
\system32\drivers\etc\hosts
Rutina para decodificar estos strings realizada en python:
# -*- coding: iso-8859-15 -*-
import operator
import sys
import binascii
ca = ''
keypin = "%ü&/@#$A"
keyhex = '25c281262f40232441';
#cadena a desencriptar
datac = '66C67A78294D402E528F7A4B335449320B995E4A'
salida = '';
def xor(key, string):
c = 0
data = []
for k in xrange(len(string)):
if c > len(key)-1:
c = 0
fi = ord(key[c])
c += 1
se = ord(string[k])
data += [chr(operator.xor(fi, se))]
return data
cadena = binascii.a2b_hex(datac);
salida = xor(keypin,cadena);
for imprime in range(len(salida)):
ca = ca + salida[imprime]
print ca
print
Accediendo con malzilla se puede observar lo que entrega el php, hasta el momento no fue cargado por el defraudador el sitio de pharming.
Es todo por el momento.
@Dkavalance 2012