lunes, 5 de noviembre de 2012

vOlks Botnet :  Recibiste un nuevo mensaje multimedia (MMS) II  - P2P

En el día de hoy continua la Campaña de vOlks Botnet, afectando a entidades de Chile.

Utiliza la mismo phishing para el engaño y el mismo Crypter en VB que verifica si esta siendo Debugeado, con la función IsDebuggerPresent ver Aquí.
Por otro lado busca infectar los directorios compartidos en eMule para propagarse por P2P




Link: http://www.colegio-mexico.edu.mx/ENTEL/MMS/entel.php


Icono del Malware.

Dumpeando el troyano.


Icono del malware.



Strings interesantes:


00406724   UNICODE "*\AE:\[v"
00406734   UNICODE "Olk-Botn"
00406744   UNICODE "et]5.0.2"
00406754   UNICODE "\vb6 sou"
00406764   UNICODE "rce\Proy"
00406774   UNICODE "ecto1.vb"


C&C

687474703a2f2f656c2d77616368696d616e2e6e6574 http://el-wachiman.net (Online) 
687474703a2f2f656c2d77616368696d616e2e636f6d http://el-wachiman.com (no funciona)
687474703a2f2f656c2d77616368696d616e2e696e666f http://el-wachiman.info (no funciona)
687474703a2f2f656c2d77616368696d616e2e62697a http://el-wachiman.biz (no funciona)

2669SO3d &i=
&STLftps
26STL6d61696c733d &mails=

5a6f6d626965732e7068703f69N" Zombies.php?iName=



http://el-wachiman.net/System/Zombies.php?iName=3qeqwqw



User_Agent que utiliza el troyano para autentificar la conexión.   

QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC

si accedemos al URL de arriba sin utilizar este User_Agent, el C&C no nos entregara nada.





 Conectándonos con Malzilla y obteniendo la configuración del Pharming:





Utilización de programas como emule para propagarse por medio de redes P2P

0x0000A680 0x0000000B eMule


0x0000A690 0x00000017 IncomingDir
0x0000A6AC 0x0000009D Adobe Acrobat 9 Keygen, Adobe Photoshop CS4 Keygen, Adobe Photoshop CS5 Keygen
0x0000A750 0x00000091 Adobe Photoshop CS5 Extended Keygen, Adobe Photoshop Elements 9.0 Keygen
0x0000A7E8 0x000000B3 Aiseesoft DVD Ripper 5.0.22-Lz0 Keygen,Aiseesoft Total Video Converter (v5.1.1.10) Keygen
0x0000A8A0 0x00000099 Akvis ArtSuite 6.5.2121 Keygen,WinRAR 3.93 Keygen,Virtual DJ Home 7.0 Keygen
0x0000A940 0x00000091 Alcohol 120% 1.9.8.7612,Alcohol 120% 2.0.1.2033,AnyDVD HD 6.6.0.3 Keygen
0x0000A9D8 0x000000A1 Patch Windows 7,Aqualux Deluxe Keygen,Microsoft Office 2007 Professional Keygen 
0x0000AA80 0x000000B5 Malwarebytes Anti-Malware Keygen,Ashampoo Burning Studio Keygen,Ashampoo Movie Menu Keygen
0x0000AB3C 0x000000D9 Assasins Creed 2 (2010),Ashampoo Snap 4 4.1 Keygen,TuneUp Utilities Keygen ,Audio Edit Magic 7.6.0.34 Keygen
0x0000AC1C 0x00000047 Local\NTShell Taskman Startup Mutex
0x0000AC68 0x000000DD Auto Hide IP Keygen,Autodesk AutoCAD 2010 Keygen,Autodesk Mudbox 2011 (x64)Keygen,Autodesk Maya Unlimited 2011
0x0000AD4C 0x000000D7 Autodesk Sketchbook Designer 2011 Keygen,Internet Download Manager 5.19 Keygen,AV Voice Changer Gold 7.0.22
0x0000AE28 0x0000002B \SYSTEM32\TaskMgr.exe
0x0000AE5C 0x000000BD Avast AntiVirus 4 8,Avast Internet Security 5.0.545 Keygen,Avast! Pro Antivirus 5.0.677 Keygen
0x0000AF20 0x000000B1 Nero 9 Reloaded (9.4.26.0,AVG Anti-Virus Free Edition 2011,AVG Anti-Virus Pro 9.0 Keygen
0x0000AFD8 0x00000065 Local\TASKMGR.879e4d63-6c0e-4544-97f2-1244bd3f6de0
0x0000B044 0x00000095 AVG PC Tuneup 2011 10.0.0.20,Hex Workshop v6 Keygen,HyperCam 2 Full Keygen
0x0000B0E0 0x0000009F Avira AntiVir Premium 10.0.0.601 Keygen,Nero Multimedia Suite 10.0.13200 Keygen
0x0000B184 0x000000A1 Award Keylogger 1.30 (x86-x64),Backgammon HD 1.4.0 (iPhone),Battlefield 2 (2010)
0x0000B22C 0x000000A9 BitTorrent 7.1.22502 (Portable),Blu-ray to DVD II Pro 2.80 Keygen,Call of Duty Patch
0x0000B2DC 0x000000C5 Call of Duty 4 Modern Warfare Patch,Call of Juarez Bound In Blood Patch,Camtasia Studio 7.1.0.1631
0x0000B3A8 0x0000003B NTShell Taskman Startup Mutex
0x0000B3E8 0x00000091 Convert Genius 3.6.0.36 Keygen,WinZip 14.0.8708  Keygen,CorelDraw 10.412
0x0000B480 0x000000A1 CorelDRAW 10 10.410 Keygen,CorelDraw Graphics Suite X3 Keygen,Counter Strike 1.6
0x0000B528 0x00000073 SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
0x0000B5A0 0x00000013 EnableLUA
0x0000B5B8 0x00000015 SYSTEMROOT
0x0000B5D4 0x000000C3 Counter Strike 1.6 Non Steam Patch,Counter Strike Source Patch,Kaspersky Internet Security Keygen









Muestra + Dump : http://www.mediafire.com/?z8yv8kubedr81df
Password = infected



Eso es todo por el momento.

@Dkavalanche    2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...