miércoles, 5 de septiembre de 2012

QhostUn admirador(a) te ha enviado una postal de Amor

Hoy inauguro la entrada 41 de este Blog, con un troyano Qhost, el cual su fin es realizar Pharming local a la Pc infectada, afectando a varias entidades Bancarias.

El siguiente es el correo phishing enviado a los desprevenidos.




Icono de la amenaza.



El Análisis en Virus Total, nos trae un bajo indice de detecciones, esto se debe a que
el codigo malicioso esta ofuscado por un Crypter en VBasic.






Aplicando un simple BP VirtualProcessMemory en el Ollydbg y dumpenado el buffer, es posible obtener la muestra del binario original sin ofuscar. Este ejecutable, esta programado en VBasic 6, utiliza strings codificados en hexadecimal, que son facilmente pasados a ascii.


Entrada del Registro:

var_B4 = "484B45595F4C4F43414C5F4D414348494E455C534F4654574152455C"
HKEY_LOCAL_MACHINE\SOFTWARE\


Llave de autorun:

"4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E5C"
Microsoft\Windows\CurrentVersion\Run\



Servidores del Pharming:

"706537303635373237352E6E7330312E62697A" -> pe70657275.ns01.biz
"696E74657237303031323566696E616E2E646E73312E7573" -> inter700125finan.dns1.us
"626E3645363136333639364636452E6E7330322E62697A" -> bn6E6163696F6E.ns02.biz
"6276766136323632373636312E6E7330322E62697A" -> bvva62627661.ns02.biz
"6563756136453633363836312E6E73312E6E616D65" -> ecua6E636861.ns1.name

Realizando in Ping a estos servidores podemos observar la IP a la cual responden, esta IP sera utilizada en el archivo .host para el pharming local (ver mas abajo).






Nombre en el sistema:

var_D4 = "73657276696365732E657865" -> services.exe


Nombres de los sitios Web de las entidades Bancarias afectadas.

var_B4 = "7777772E7669616263702E636F6D" -> www.viabcp.com
loc_00403CE5: var_B4 = "6263707A6F6E617365677572612E7669616263702E636F6D" -> bcpzonasegura.viabcp.com
loc_00403D93: var_B4 = "696E74657262616E6B2E636F6D2E7065" -> interbank.com.pe
loc_00403E44: var_B4 = "7777772E696E74657262616E6B2E636F6D2E7065" -> www.interbank.com.pe
loc_00403EF5: var_B4 = "6E6574696E74657262616E6B2E636F6D2E7065" -> netinterbank.com.pe
loc_00404057: var_B4 = "7777772E626E2E636F6D2E7065" -> www.bn.com.pe
loc_00404108: var_B4 = "7A6F6E61736567757261312E626E2E636F6D2E7065" -> zonasegura1.bn.com.pe
loc_004041B9: var_B4 = "6262766162616E636F636F6E74696E656E74616C2E636F6D" -> bbvabancocontinental.com
loc_0040426A: var_B4 = "7777772E6262766162616E636F636F6E74696E656E74616C2E636F6D" -> www.bbvabancocontinental.com
loc_0040431B: var_B4 = "70696368696E6368612E636F6D" -> pichincha.com
loc_004043CC: var_B4 = "7777772E70696368696E6368612E636F6D" -> www.pichincha.com






Archivo .host modificado por el malware:






Muestra Original + Dump + Vbasic : http://www.mediafire.com/?lw7go1xuju86gem

Pass = infected.



Es todo por el momento.


@Dkavalanche 2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...