viernes, 6 de julio de 2012

Qhost utiliza rutina XOR II


En el día de hoy volvieron a enviar el mismo troyano analizado aqui, esta vez con las Urls donde busca la
configuración del pharming sin codificación.



Malware alojado en un sitio hackeado. hxxp://www.sicmaconsultora.com.ar/inc/videos/VDTD003235.exe

Puede verse a simple vista las URLs donde ira a buscar los datos del pharming:


hxxp://www.autorataharrastajat.fi/images/Flexit.php
hxxp://guiadesanborja.com/multiprinter/gallery/4/8s.php



Encontramos un bajo indice de detecciones.


El ejecutable esta programado en Visual Basic.

Length Of Struc: 0250h
Length Of Value: 0034h
Type Of Struc:   0000h
Info:            VS_VERSION_INFO
Signature:       FEEF04BDh
Struc Version:   1.0
File Version:    1.0.0.0
Product Version: 1.0.0.0
File Flags Mask: 0.0
File Flags:      
File OS:         WINDOWS32
File Type:       APP
File SubType:    UNKNOWN
File Date:       00:00:00  00/00/0000

     Struc has Child(ren). Size: 500 bytes.

Child Type:         VarFileInfo
Translation:        3082/1200

Child Type:         StringFileInfo
Language/Code Page: 3082/1200
CompanyName:        KIKIRIKI
LegalTrademarks:    copyrigth
ProductName:        Formulario de pago
FileVersion:        1.00
ProductVersion:     1.00
InternalName:       mar
OriginalFilename:   mar.exe


Con un BP en la rutina de decodificación de los strings, se pueden ir observando como estos son decodificados.





String:
6DB763761F6F6B0264B0796201606C086BB97A7C0F65701664AE63730D4A47334A8F4949347F73284B984958337F6734578E434134754133569549411C71512F79AC65622F4D4D354A8E

Decodifica:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PCMonitor



6DB763761F6F6B0264B0796201606C086BB97A7C0F65701664AE63730D4A47334A8F4949347F73284B984958337F6734578E434134754133569549411C734B2D4C9F4F4A337F7738568843421C664A20479043631562


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA 



66C67A78294D402E528F7A4B335449320B995E4A
C:\Windows\dswms.exe


798F5F5C3446497217A0425D2955413356A0435B237F4C2E568855
\system32\drivers\etc\hosts


Rutina para decodificar estos strings realizada en python:

# -*- coding: iso-8859-15 -*-
import operator
import sys
import binascii
ca = ''
keypin = "%ü&/@#$A"
keyhex = '25c281262f40232441';
#cadena a desencriptar
datac = '66C67A78294D402E528F7A4B335449320B995E4A'

salida = '';
def xor(key, string):
    c = 0
    data = []
    for k in xrange(len(string)):
        if c > len(key)-1:
            c = 0
        fi = ord(key[c])
        c += 1
        se = ord(string[k])
        data += [chr(operator.xor(fi, se))]
    return data

cadena = binascii.a2b_hex(datac);
salida = xor(keypin,cadena);

for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca
print



Accediendo con malzilla se puede observar lo que entrega el php, hasta el momento no fue cargado por el defraudador el sitio de pharming.





Es todo por el momento.




@Dkavalance    2012









No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...