miércoles, 8 de agosto de 2012

Dorkbot: Falso mensaje de amorenlinea.com.

Continua la campaña de difusión de la amenaza Dorkbot, esta vez utilizando un falso mensaje de un popular sitio de búsquedas de parejas.



EL link nos dirige a un sitio falso con un script a un php


Descarga de un archivo .Zip



Icono
Se trata de Dorkbot con una capa de VBCrypt.

Análisis en VT, con un indice bajo de detecciones (solo un solo anti virus indica a DorkBot)


Análisis dinámico en el cual se puede observar  los comandos del Botmaster via IRC


 Pharming Local, de entidades Bancarias y de varios sitios de Anti-Virus para prevenir la descarga de actualizaciones o facilitar la descarga de otras amenazas.


hxxp://tekilaz.com/hosts




Muestra del binario + unpack en : http://www.mediafire.com/?vh0cd3j04h7pv8i
password = infected 
Eso es todo por el momento.


@Dkavalanche        2012

No hay comentarios:

#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...