viernes, 24 de agosto de 2012

Andrea Rosales Video Hot: vOlk Botnet.

Luego de unas merecidas vacaciones, vuelvo con otro caso de la Botnet vOlk, en esta oportunidad con un supuesto video hot de una amiga perdida....





Link Redirector: hxxp://reversiblesweatshirts.com/form/Notificacion/Facebook/Descargas/facebook.php
Trojan: http://reversiblesweatshirts.com/form/Notificacion/Facebook/Descargas/id=143V10222.exe

Icono de la Amenaza:


 Análisis en Virus Total:









Esta amenaza esta codificada con un VBCrypt, para tratar de ocultar su código, igualmente es fácil de obtener un dump del binario original con OllyDbg. 
Aquí vemos que se trata de un troyano vOlk Botnet:





Icono del malware:

Se trata de un binario compilado en VB, por lo cual podemos obtener el código fuente en assembler mediante un decompiler (el código fuente se los dejo en la muestra).



Datos codificados en Hexadecimal que traducidos a texto nos muestra datos interesantes:

 loc_004048F0: mov var_174, 004030CCh ; "626F74732E7068703F6E616D653D" bots.php?name=


  loc_004043F2: mov var_80, 00402C70h ; "687474703A2F2F7777772E7665726761736174692E636F6D2F57656250616E656C2F70726976382F"
  http://www.vergasati.com/WebPanel/priv8/    (<- Panel de la Botnet)

  loc_004045EF: mov var_90, 00403030h ; "5C73797374656D33325C647269766572735C6574635C686F737473" 
  \system32\drivers\etc\hosts




Todo el análisis fue realizado sin infectar la pc.


Panel sin control de sesion:

http://www.vergasati.com/WebPanel/priv8/Controladores/Filezilla.php?pais=



Posible SQLi en :     :)


Muestra + Dump + VBCode en: http://www.mediafire.com/?6v8cdmfv5xveuwv
password = infected


Es todo por el momento.

@Dkavalanche 2012.

1 comentario:

Moc dijo...

Impecable Bro!!, a ver si tienes Gtalk así compartimos información!!

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...