En estos días se volvió a propagar este troyano Qhost, el cual esta programado en VBasic y utiliza TDES para ocultar strings. Actualmente afecta a entidades del Perú.
Ver caso del 9-10
Falso Correo enviado.
Icono del Malware
Links:
hxxp://www.batikpekalongan.info/wp-content/Mensaje_facebook.php
hxxp://www.batikpekalongan.info/wp-content/mensaje_facebook.exe
Análisis en V.T. con un indice medio/alto de detecciones, por lo visto alguien lo califico como inofensivo...
Strings codificados en B64 y su correcta decodificación (ver caso 9-10-12 donde fue explicada la rutina)
loc_402B4C: stfld key (clave del desencriptor)
"ABCDEFGHIJKLMÑOPQRSTUVWXYZabcdefghijklmnñopqrstuvwxyz1234567890"
ldstr "FNhFufDVv1iqOFp7J6yFMSfDG08mcILw"
C:\\Mis Documentos
ldstr "xqH/CgwW4AAeXCaBE9liAhubB1hmz3GdGH2jzjZrkzlHMH+ncLXVywDvXeEKj/xI"
C:\\Windows\\System32\\drivers\\etc\\hosts
ldstr "FNhFufDVv1iqOFp7J6yFMW2eEUdX+Ou6AlML4KNlMxS5N7/dUEPVJA=="
C:\\Mis Documentos\\Documento1.docx
ldstr "xqH/CgwW4AAeXCaBE9liAhubB1hmz3GdGH2jzjZrkzk0J3nRc+zp3Y5kKeyoYH/T"
C:\\Windows\\System32\\drivers\\winlogon.exe
ldstr "gLxKtNUXp2SE69TZFporYqt8H8rpp35VwskE1WxysLvV52VJczsB/A=="
http://www.grosirbatik.org/robots.txt
ldstr "SQqsp2xA8QYayue/INup3QcFAjZK7cHILBIHfzGjYjCMWK1wE+grdXJzA+oGdpuC507V+GHnzDOQbcBasu6mMg=="
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
ldstr "mP26pvLtpbyjGT2awz+SB4o1+on+xE5lsBjcs9xqIpg="
ConsentPromptBehaviorAdmin
ldstr "ESd7ywzEl7cI/VvhtqAhYA=="
EnableLUA
ldstr "8scjkqqBETyJhtl6RkHzMRs7loghl/Q5"
PromptOnSecureDesktop
ldstr "SQqsp2xA8QYayue/INup3QcFAjZK7cHILBIHfzGjYjCMWK1wE+grdTln9LqoZDarMU7sV2sp2uo="
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
ldstr "D+jGpmVoxjGBFGfoJGeVhYQsu0CZG5NS"
Windows Defender
Cadenas no encriptadas....
Pharming: hxxp://www.grosirbatik.org/robots.txt
muestra: http://www.mediafire.com/?d96dr3col0dcdcw
password = infected
Desencriptor de strings para este caso: http://www.mediafire.com/?rih4c9dwiii8opl
sin password
Eso es todo por el momento.
@Dkavalanche 2012 esperando el fin del mundo.........