Hace apenas horas me llego el siguiente correo sobre un falso video xxx de Shakira y Pique.
Se trata nada menos de DorkBot, la tan extendida amenaza en Latam.
Las imagen habla por si sola, ingeniería social al extremo.
Link y binario alojado en un sitio falso que abusa de la marca PlayBoy.
hxxp://www.playboy-latino.net/Shakira_Y_Pique.php
hxxp://www.playboy-latino.com/Video_Porno_Shakira.mpeg.exe
Análisis en V.T. con un indice moderado de detecciones.
Icono del malware.
Utilizando OllyDbg, se puede quitar la capa de ofuscado del binario.
El análisis dinámico indica que el malware descarga dos amenazas de distintos sitios, ambas son diferentes a la original, cada una con una ofuscación distinta, pero en ambos casos se trata también de ngrBot / DorkBot.
Sniffer
Análisis del binario z8.exe en V.T., arroja como resultado un 1/41 como indice de detección (bien por AhnLab).
Descarga del binario Killer2012.exe, también un ngrBot.
Análisis en V.T. con un indice de detecciones de 1/41, Fortinet indica que es un Zbot...
Hasta el momento no se observa que esta amenaza este realizando Pharming a entidades Bancarias, pero igualmente todos los datos de las victimas infectadas se encuentran vulnerados por esta amenaza.
Muestras + dumps (sin ofuscado de DorkBot): http://www.mediafire.com/?izt90g6979j9oju
password = infected.
Es todo por el momento.
@Dkavalanche 2012