miércoles, 8 de agosto de 2012

Dorkbot: Falso mensaje de amorenlinea.com.

Continua la campaña de difusión de la amenaza Dorkbot, esta vez utilizando un falso mensaje de un popular sitio de búsquedas de parejas.



EL link nos dirige a un sitio falso con un script a un php


Descarga de un archivo .Zip



Icono
Se trata de Dorkbot con una capa de VBCrypt.

Análisis en VT, con un indice bajo de detecciones (solo un solo anti virus indica a DorkBot)


Análisis dinámico en el cual se puede observar  los comandos del Botmaster via IRC


 Pharming Local, de entidades Bancarias y de varios sitios de Anti-Virus para prevenir la descarga de actualizaciones o facilitar la descarga de otras amenazas.


hxxp://tekilaz.com/hosts




Muestra del binario + unpack en : http://www.mediafire.com/?vh0cd3j04h7pv8i
password = infected 
Eso es todo por el momento.


@Dkavalanche        2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...