jueves, 22 de noviembre de 2012

Blackhole Exploit 2.0 - Analizado con Malzilla Parte II.

Hoy vamos a resumir el trabajo del post de ayer para obtener rápidamente el payload del BHE.





Cargado del URL malicioso. hxxp://josvanbragt.eu/track.php?c005

Nos redirige a otro sitio, le contestamos que si.





 Aquí se puede observar el Iframe.




Con este dato armamos el nuevo URL para obtener el PDF malicioso.



Descarga del PDF







Nos desplazamos hasta encontrar la cadena que se utilizara en el Shellcode.



Copiamos esta cadena codificada en Hexadecimal y la convertimos a texto.

Se puede observar una URL




Cargamos dicha URL en Malzilla y obtenemos el payload ejecutable.



Analizado en VT, se observa un indice muy bajo de detecciones.




Realizado un dump sin ofuscar, se trata del mismo malware que la vez pasada.







Eso es todo por el momento



@Dkavalanche            2012








No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...