domingo, 14 de octubre de 2012

vOlks Botnet - Falso Mensaje Privado de Facebook - Pharming


Aquí otro caso de la difundida botnet vOlk, actualmente esta realizando pharming de entidades del Perú.




Análisis en V.T. con un indice muy bajo en detecciones.



Des ofuscando el binario, ya que tiene una capa de un crypter en VBasic.




Strings:

"626F74732E7068703F6E616D653D" bots.php?name=
"687474703A2F2F7468656361706F2E696E666F2F70652F6D6F6E65792F" http://thecapo.info/pe/money/
"5C73797374656D33325C647269766572735C6574635C686F737473" \system32\drivers\etc\host
"5368656C6C2E4170706C69636174696F6E" Shell.Application
"5C46696C655A696C6C615C736974656D616E616765722E786D6C" \FileZilla\sitemanager.xml
"5C46696C655A696C6C615C726563656E74736572766572732E786D6C" \FileZilla\recentservers.xml
"76622077696E696E6574"  vb wininet (user_agent)



Probando el malware de forma dinámica, se puede observar al sitio donde se conecta (comando y control)


Pharming Local



Panel de la Botnet



Muestra + dump + Vbasic http://www.mediafire.com/?bt4ht3ng9xxtexd
Password = infected




Eso es todo por el momento.


@Dkavalanche    2012






1 comentario:

Blogger dijo...

BlueHost is one of the best website hosting company with plans for any hosting needs.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...