lunes, 30 de julio de 2012

DorkBot: falsa video postal SONICO



Al igual que el analsis anterior, vuelven a realizar pharming con Dorkbot sobre varias entidades Bancarias Latinoamericanas.



Lanzador de la amenaza: hxxp://diii.in/

Amenaza localizada en :hxxp://grandbizzare.com/gallery//wp-includes/Ver_Video.exe



Analisis en V.T. con un indice bajo de detecciones.





El troyano esta comprimido con UPX  y pasado por un Crypter en VB.

En la imagen esta descompactado y se puede ver el código que utiliza para infectar unidades USB






URL de configuración del pharming:

http://blog.vincechaney.com/wp-content/uploads/2010/04/ww.txt





Add: 03-08-2012


Volvieron a enviar el mismo correo phishing con otro binario y cambiaron el sitio de pharming.
(gracias al aviso de un lector de este Blog)

Link:
http://bc-runovskiy.ru/templates/shaper_simplicity_ii/css/styles/d.php

Redirige a:
http://sonico.panamahatshopping.com/Postal_Sonico.swf.exe






Pharming:
http://aktecplastik.com/chewclub/wy.txt


Conexión al servidor de IRC, se puede observar los comandos del bot master.



Descarga otra amenaza (DorkBot):


hxxp://ensenadalibre.com/media/system/css/sdd.exe






Pharming





Muestras: http://www.mediafire.com/download.php?3901ag3hpky6ghk
password = infected

Es todo por el momento.


@Dkavalanche     2012


lunes, 23 de julio de 2012

DorkBot  Falso Video: Escandalo Miss Ecuador 2012 en Video XXX‏


En el día de hoy me llego el siguiente correo falso, el cual intenta mostrar un video XXX de una Miss Ecuador. 



Link:            hxxp://diii.in/
Descarga:  hxxp://www.acgorz.me/Ver_Video.exe



Icono del malware, simulando ser un Flash



Análisis en VT, con un indice muy bajo de detecciones.




El archivo esta compactado con UPX y modificado, que al querer desempaquetarlo con el upx -d el troyano deja de funcionar, ademas trae unas cadenas de caracteres para despistar el trabajo de los analistas de la muestra.


687474703A2F2F7777772E6D61732D7365617263682E696E666F2F6170692E706870 - http://www.mas-search.info/api.php
687474703A2F2F7777772E647265797365617263682E696E666F -> http://www.dreysearch.info



Por lo que lo desempacamos a mano.

Resultando ser un DorkBot - NgrBot.







El malware esta en este momento tomando la configuración del pharming desde la URL http://studio-108.ru/ww.txt corresponde a una entidad Bancaria de Colombia.




Esta amenaza esta configurada para infectar dispositivos USB.



Muestra original y el Dump: http://www.mediafire.com/?glueatagx9tganj






Es todo por el momento.




@Dkavalanche 2012.

viernes, 13 de julio de 2012

SmokeBot

Hoy les traigo una nueva amenaza utilizada por los cybercriminales, en este caso para reclutar maquinas zombies y realizar Pharming a una entidad Bancaria. 

Falso correo de la empresa CLARO, en la que se invita a descargar un mms.


 Se trata de un archivo ejecutable SCR

Análisis de VT



Analizando los recursos encontramos que se trata de un Zip/Rar extractor.



Extraemos el Zip, el cual contiene un ejecutable.




Análisis en VT.


Este ejecutable se trata de un VBCrypt, el cual se utiliza para ocultar la carga maliciosa, la cual se trata de un SmoKe Bot. (Lo pueden encontrar en la muestra que les dejo como sound_unCript_1.EXE)




Este Bot, consiste en un ejecutable programado en C++ con un tamaño de 9k, el cual al ser ejecutado crea un svchost.exe y se inyecta en el, esto es para pasar desapercibido en el TaskManager y poder evadir libremente el firewall de windows.

Se conecta a un C&C y envía/recibe datos en base64 (codificados).

Contiene rutinas anti-debugging y detección de Vmware, Qemu y Sboxie.



Durante el análisis dinámico de la amenaza, se puede observar el trafico y el pharming realizado sobre una entidad bancaria.



Una de las imágenes dentro del C&C 




Es todo por el momento.

Muestras:  http://www.mediafire.com/?npxpi8hwyrroyjb
password = infected

@Dkavalance    2012 

viernes, 6 de julio de 2012

Qhost utiliza rutina XOR II


En el día de hoy volvieron a enviar el mismo troyano analizado aqui, esta vez con las Urls donde busca la
configuración del pharming sin codificación.



Malware alojado en un sitio hackeado. hxxp://www.sicmaconsultora.com.ar/inc/videos/VDTD003235.exe

Puede verse a simple vista las URLs donde ira a buscar los datos del pharming:


hxxp://www.autorataharrastajat.fi/images/Flexit.php
hxxp://guiadesanborja.com/multiprinter/gallery/4/8s.php



Encontramos un bajo indice de detecciones.


El ejecutable esta programado en Visual Basic.

Length Of Struc: 0250h
Length Of Value: 0034h
Type Of Struc:   0000h
Info:            VS_VERSION_INFO
Signature:       FEEF04BDh
Struc Version:   1.0
File Version:    1.0.0.0
Product Version: 1.0.0.0
File Flags Mask: 0.0
File Flags:      
File OS:         WINDOWS32
File Type:       APP
File SubType:    UNKNOWN
File Date:       00:00:00  00/00/0000

     Struc has Child(ren). Size: 500 bytes.

Child Type:         VarFileInfo
Translation:        3082/1200

Child Type:         StringFileInfo
Language/Code Page: 3082/1200
CompanyName:        KIKIRIKI
LegalTrademarks:    copyrigth
ProductName:        Formulario de pago
FileVersion:        1.00
ProductVersion:     1.00
InternalName:       mar
OriginalFilename:   mar.exe


Con un BP en la rutina de decodificación de los strings, se pueden ir observando como estos son decodificados.





String:
6DB763761F6F6B0264B0796201606C086BB97A7C0F65701664AE63730D4A47334A8F4949347F73284B984958337F6734578E434134754133569549411C71512F79AC65622F4D4D354A8E

Decodifica:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PCMonitor



6DB763761F6F6B0264B0796201606C086BB97A7C0F65701664AE63730D4A47334A8F4949347F73284B984958337F6734578E434134754133569549411C734B2D4C9F4F4A337F7738568843421C664A20479043631562


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA 



66C67A78294D402E528F7A4B335449320B995E4A
C:\Windows\dswms.exe


798F5F5C3446497217A0425D2955413356A0435B237F4C2E568855
\system32\drivers\etc\hosts


Rutina para decodificar estos strings realizada en python:

# -*- coding: iso-8859-15 -*-
import operator
import sys
import binascii
ca = ''
keypin = "%ü&/@#$A"
keyhex = '25c281262f40232441';
#cadena a desencriptar
datac = '66C67A78294D402E528F7A4B335449320B995E4A'

salida = '';
def xor(key, string):
    c = 0
    data = []
    for k in xrange(len(string)):
        if c > len(key)-1:
            c = 0
        fi = ord(key[c])
        c += 1
        se = ord(string[k])
        data += [chr(operator.xor(fi, se))]
    return data

cadena = binascii.a2b_hex(datac);
salida = xor(keypin,cadena);

for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca
print



Accediendo con malzilla se puede observar lo que entrega el php, hasta el momento no fue cargado por el defraudador el sitio de pharming.





Es todo por el momento.




@Dkavalance    2012









 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!