viernes, 13 de julio de 2012

SmokeBot

Hoy les traigo una nueva amenaza utilizada por los cybercriminales, en este caso para reclutar maquinas zombies y realizar Pharming a una entidad Bancaria. 

Falso correo de la empresa CLARO, en la que se invita a descargar un mms.


 Se trata de un archivo ejecutable SCR

Análisis de VT



Analizando los recursos encontramos que se trata de un Zip/Rar extractor.



Extraemos el Zip, el cual contiene un ejecutable.




Análisis en VT.


Este ejecutable se trata de un VBCrypt, el cual se utiliza para ocultar la carga maliciosa, la cual se trata de un SmoKe Bot. (Lo pueden encontrar en la muestra que les dejo como sound_unCript_1.EXE)




Este Bot, consiste en un ejecutable programado en C++ con un tamaño de 9k, el cual al ser ejecutado crea un svchost.exe y se inyecta en el, esto es para pasar desapercibido en el TaskManager y poder evadir libremente el firewall de windows.

Se conecta a un C&C y envía/recibe datos en base64 (codificados).

Contiene rutinas anti-debugging y detección de Vmware, Qemu y Sboxie.



Durante el análisis dinámico de la amenaza, se puede observar el trafico y el pharming realizado sobre una entidad bancaria.



Una de las imágenes dentro del C&C 




Es todo por el momento.

Muestras:  http://www.mediafire.com/?npxpi8hwyrroyjb
password = infected

@Dkavalance    2012 

1 comentario:

@Dkavalanche dijo...

dravalanchelabs[en]yahoo.com.ar

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!