domingo, 16 de septiembre de 2012

Qhost - Falso correo Amor En Linea.

Este troyano esta afectando a entidades bancarias de Chile, utiliza la ingenieria social para infectar a los desprevenidos.

Aqui el correo falso.




Link falso:  http://93.104.215.135/~variadas/AmorEnLinea.html

Troyano alojado en: http://176.9.118.68/~chilecom/amor_en_linea/mensaje_de_amor/amor.exe




El link nos redirige a una web que nos hace creer que nos esta descargando un mensaje, que en realidad se trata de un ejecutable.





EL análisis en VirusTotal, nos indica un bajo indice de detecciones 1/42.




Este troyano esta ofuscado con un Crypter, el deofuscado lo realizamos Ollydbg y obtenemos el dump original, el cual se trata de un ejecutable compilado en Visual Basic. (lo pueden observar en la muestra que les dejo)

Pasando este ejecutable de VBasic por un decompilador, podemos obtener el código fuente en assembler y revisar su comportamiento.


Las siguiente son cadenas que podemos encontrar en Hexadecimal, que pasadas a ascii podemos observar de que se tratan.


Aquí el sitio web donde se aloja el pharming:


00402828h ; "67726F6E652E69676E6F72656C6973742E636F6D" - grone.ignorelist.com


Entidades bancarias de Chile afectadas:


00402880h ; "7777772E62616E636F65737461646F2E636C" - www.bancoestado.cl
004028D0h ; "62616E636F65737461646F2E636C" - bancoestado.cl
00402910h ; "7777772E626276612E636C" - www.bbva.cl
00402944h ; "626276612E636C" - bbva.cl
00402968h ; "7777772E62616E636F66616C6162656C6C612E636C" - www.bancofalabella.cl
00402A08h ; "62616E636F66616C6162656C6C612E636C" - bancofalabella.cl
00402A54h ; "7777772E6263692E636C" - www.bci.cl
00402A84h ; "6263692E636C" - bci.cl


Archivo host que sera modificado:

 "5C73797374656D33325C647269766572735C6574635C686F737473" -\system32\drivers\etc\hosts


Llave del registro del auto run.


 "536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E"
Software\Microsoft\Windows\CurrentVersion\Run



  loc_00404180: mov var_A0, 00402AA4h ; "57696E6C6F676F6E" - Winlogon
  loc_0040423B: mov var_C0, 00402AF0h ; "7363737372722E657865" - scssrr.exe
  





Realizando un ping al sitio del pharming nos revela su IP, la que sera utilizada en el archivo .host



Así es como quedara conformado el archivo .host




muestra + dump + VB code ->  http://www.mediafire.com/?sffqqfzwblpcngl

pass = infected




Es todo por el momento.


@Dkavalanche 2012









No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...