lunes, 6 de agosto de 2012

QHost ( botnet S.A.P.Z.): Servicio no tan CLARO. 

Aquí otro de los tan extendidos intentos de engaño mediante ingeniaría social.

Falso correo de la empresa CLARO:




El link nos lleva a una web que contiene un frame de tamaño 0,0 el cual nos redirige a un sitio con el troyano.




Análisis del troyano en VT, con un indice muy bajo en detecciones.



El troyano tiene una capa de VBCrypt, con Olly podemos obtener un dump del troyano sin ofuscación, tal cual lo deja al compilar VisualBasic.



En el análisis dinámico se observa el sitio al cual se conecta y baja la configuración del Pharming.



Esta amenaza corresponde a la Botnet S.A.P.Z.

Panel:




Listado de PC's Infectadas:




Muestra: original + dumps : http://www.mediafire.com/?k6j68mkw8bfq2dw 
password = infected



Eso es todo por el momento.

@DkAvalanche 2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...