Vuelve el troyano vOlks para atacar entidades bancarias de Chile, esta vez con un Crypter en VBasic que detecta si esta siendo debugeado (IsDebuggerPresent).
Falso correo Phishing:
Icono del malware, con una clara intención de hacerse pasar por una imagen del tipo thumb o algo parecido.
Análisis en V.T. con un indice super bajo en detecciones 2/44
Aquí ponemos un BP a la función IsDebuggerPresent, para poder sortearla.
Syntax
BOOL WINAPI IsDebuggerPresent(void);
Parameters
This function has no parameters.
Return value
If the current process is running in the context of a debugger, the return value is nonzero.
If the current process is not running in the context of a debugger, the return value is zero.
Esta es la función: MOV EAX, DWORD PTR FS:[18]
De la explicación de arriba sale que cuando EAX toma el valor 1 es que esta bajo debugging, por lo que tenemos que forzar un 0.
La modificamos dejándola como MOV EAX, 0
Luego nopeamos y nos queda patcheada la función.
Ver la siguiente imagen:
Luego otro BP a WriteProcessMemory para realizar el DUMP de la muestra.
Strings encontrados en el Dump.
PANELES C&C (solo el primero esta activo)
"687474703A2F2F707562312E6372616264616E63652E636F6D2F7E64616E63652F5765622D41646D696E2F70726976382F"
http://pub1.crabdance.com/~dance/Web-Admin/priv8/
"687474703A2F2F7472756D656C7468732E696E2F70726976382F"
http://trumelths.in/priv8/
"687474703A2F2F706F6C69636566616B652E696E2F70726976382F"
"687474703A2F2F6E6F64726F706572736865782E696E2F70726976382F"
http://nodropershex.in/priv8/
00417080 DD dump.00417C34 UNICODE "BYVOLK"
00417098 DD dump.00417CF0 UNICODE "AppData"
004170A0 DD dump.00417D04 UNICODE "5C737663686F73742E657865"
\svchost.exe
004170A8 DD dump.00417D78 UNICODE "nxnxQ2XXiw99jhX0iwCVl2fu"
004170C0 DD dump.00417DB8 UNICODE "476F6F676C6520496E63"
00417104 DD dump.0041786C ASCII "Form"
0041712C DD dump.004178F8 ASCII "TreServs"
00417154 DD dump.00417904 ASCII "Timer1"
0041717C DD dump.0041791C ASCII "GmailShoks"
004171A4 DD dump.00417938 ASCII "HaxoDatex"
004171CC DD dump.00417944 ASCII "Contxtos"
004174A4 DD dump.00417710 ASCII "WhoisvOlks"
004174D0 DD dump.0041771C ASCII "Form1"
00417500 DD dump.00417724 ASCII "HiperTextos"
00417530 DD dump.00417730 ASCII "MutexRps"
00417560 DD dump.0041773C ASCII "AddOsPrime"
00401198 ASCII "WhoisvOlks",0
00401210 ASCII "Form1",0
0040121A ASCII "Windows Media Pl"
0041669C DD dump.00418DEC UNICODE "484B4C4D5C534F4654574152455C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E5C"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
0041656C DD dump.0041923C UNICODE "5C73797374656D33325C647269766572735C6574635C686F737473"
\system32\drivers\etc\hosts
"AppData"
"5C737663686F73742E657865" \svchost.exe (nombre en el sistema)
"User-Agent"
"QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC"
Panel del C&C
Conectándonos simulando ser un BOT y obteniendo la configuración del Pharming.
muestra + dump + strings : http://www.mediafire.com/?d7spzabehoed05e
passw = infected
Es todo por el momento.
@Dkavalanche 2012