lunes, 23 de julio de 2012

DorkBot  Falso Video: Escandalo Miss Ecuador 2012 en Video XXX‏


En el día de hoy me llego el siguiente correo falso, el cual intenta mostrar un video XXX de una Miss Ecuador. 



Link:            hxxp://diii.in/
Descarga:  hxxp://www.acgorz.me/Ver_Video.exe



Icono del malware, simulando ser un Flash



Análisis en VT, con un indice muy bajo de detecciones.




El archivo esta compactado con UPX y modificado, que al querer desempaquetarlo con el upx -d el troyano deja de funcionar, ademas trae unas cadenas de caracteres para despistar el trabajo de los analistas de la muestra.


687474703A2F2F7777772E6D61732D7365617263682E696E666F2F6170692E706870 - http://www.mas-search.info/api.php
687474703A2F2F7777772E647265797365617263682E696E666F -> http://www.dreysearch.info



Por lo que lo desempacamos a mano.

Resultando ser un DorkBot - NgrBot.







El malware esta en este momento tomando la configuración del pharming desde la URL http://studio-108.ru/ww.txt corresponde a una entidad Bancaria de Colombia.




Esta amenaza esta configurada para infectar dispositivos USB.



Muestra original y el Dump: http://www.mediafire.com/?glueatagx9tganj






Es todo por el momento.




@Dkavalanche 2012.

2 comentarios:

Moc dijo...

Muy bueno, esa botnet esta muy difundida por Perú. Tienes algún correo para escribirte?

@Dkavalanche dijo...

Gracias Moc, mi e-mail es dravalanchelabs[en]yahoo.com.ar


Saludos.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...