martes, 6 de noviembre de 2012

Qhost -  FUD XOR :  Has Recibido un nuevo mensaje multimedia MMS de Anita!

Hoy les traigo un troyano Qhost que utiliza una rutina XOR para ofuscar los strings y evitar ser detectado por los A.V., evidentemente hace bien su trabajo, ante el análisis en Virustotal, este resulto ser in-detectable (FUD).
La configuración del pharming esta codificada (xor) dentro del troyano, es decir que no se actualiza vía Internet.

Actualmente realiza pharming a entidades Bancarias de Perú.




Correo phishing:





Descargando el troyano con Malzilla, vemos que es redirigido a otra URL.


Descarga.




Icono del Malware:








Análisis en V.T. que arroja un resultado de cero detecciones....






Aquí parte de la rutina del XOR











Con Ollydbg debemos poner un BP en 

0040B5C0   68 37B64000    PUSH Reproduc.0040B637                 


 Y luego ir ejecutando con F9








A medida que va parando la ejecución en el BP veremos en el STACK el código HEXA de los strings









Como dato adicional, aquí vemos la entrada de datos a rutina Xor




Con este método enumeramos los siguientes strings:


0012F800   001709EC  UNICODE "484B45595F4C4F43414C5F4D414348494E455C534F4654574152455"
HKEY_LOCAL_MACHINE\SOFTWARE

0012F800   0017073C  UNICODE "4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E5"
Microsoft\Windows\CurrentVersion\Run

(Servidores del Pharming)

0012F800   00170954  UNICODE "696E7465722E73736C2E6D794674702E6E616D65"
inter.ssl.myFtp.name

0012F800   00170B94  UNICODE "626276612E73736C2E6D794674702E6E616D65"
bbva.ssl.myFtp.name



0012E03C   00170B94  UNICODE "5C73797374656D33325C647269766572735C6574635C686F7374"

\system32\drivers\etc\hosts

0012F800   00170954  UNICODE "696E74657262616E6B2E636F6D2E706"

interbank.com.pe

0012F800   00170B94  UNICODE "7777772E696E74657262616E6B2E636F6D2E706"

www.interbank.com.pe


0012F800   00170CE4  UNICODE "6E6574696E74657262616E6B2E636F6D2E706"

netinterbank.com.pe

0012F800   00170954  UNICODE "6262766162616E636F636F6E74696E656E74616C2E636F6D"

bbvabancocontinental.com


0012F800   00170B94  UNICODE "7777772E6262766162616E636F636F6E74696E656E74616C2E636F6D"

www.bbvabancocontinental.com

0012F800   0018FC64  UNICODE "57696E6C6F676F6"

winlogon

0012FA84   00170FB4  UNICODE "77696E7570646174652E657865"

winupdate.exe



Si realizamos un Ping a los servidores nos dará el IP que sera colocada por el malware en el archivo host.





En un momento de la ejecución el malware ira a buscar una web de CLARO.PE, esto lo hace para despistar, igualmente pueden continuar con la ejecución  para buscar todos los strings.

Muestra + Codigo en http://www.mediafire.com/?3b4vjchni0o3r91

Password = infected


Eso es todo por el momento.


@Dkavalanche    2012










No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...