lunes, 6 de agosto de 2012

QHost ( botnet S.A.P.Z.): Servicio no tan CLARO. 

 Aquí otro de los tan extendidos intentos de engaño mediante ingeniaría social.

 Falso correo de la empresa CLARO:


El link nos lleva a una web que contiene un frame de tamaño 0,0 el cual nos redirige a un sitio con el troyano.




Análisis del troyano en VT, con un indice muy bajo en detecciones.



El troyano tiene una capa de VBCrypt, con Olly podemos obtener un dump del troyano sin ofuscación, tal cual lo deja al compilar VisualBasic.



En el análisis dinámico se observa el sitio al cual se conecta y baja la configuración del Pharming.
Esta amenaza corresponde a la Botnet S.A.P.Z.
Panel:


Listado de PC's Infectadas:


Muestra: original + dumps : http://www.mediafire.com/?k6j68mkw8bfq2dw 
password = infected

Eso es todo por el momento.

 @DkAvalanche 2012
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Troyano de Formulario II, Falso Comprobante de deposito. En el día de hoy, me acercaron un correo sospechoso, el cual  intentaba, median...
  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • ATARI ST Bootsector Virus
    Los primeros virus de boot sector aparecieron a mediados y fines de los 80 en lo que por aquel entonces eran las primeras computadoras que ...