viernes, 7 de diciembre de 2012


vOlks Botnet :  IDEASCLARO Recibiste un nuevo mensaje multimedia (MMS)

Volvió la campaña para la propagación de vOlks Botnet, afectando a varias entidades Bancarias del Perú.



Falso Correo.






Link


hxxp://bit.ly/iClaroMMS  (redirector)

Php que dependiendo del IP descarga o no el malware.

hxxp://tunomires.info/MMS_CLARO/include.php


hxxp://tunomires.info/MMS_CLARO/ClaroMMS.exe

Log de descargas generado por el php

hxxp://tunomires.info/MMS_CLARO/log.txt



Análisis en VirusTotal con un bajo indice en detecciones.








Aquí sacando la capa de ofuscación del troyano, se trata de un simple crypter programado en VisualBasic.


Crea un Nuevo Proceso




Bp en ZwResumeThread y cuando ocurre hacemos un Dump.







Strings importantes encontrados en el malware:












Panel del C&C de la botnet.

Botnet Panel: http://claromultimendia.com/pejerlz/










Local Pharming, visto con Malzilla, con el nos hacemos pasar por un cliente al utilizar el mismo User-Agent que tiene el troyano.








Descarga de la muestra (sea cuidadoso)

Muestra + Dump + Strings: http://www.mediafire.com/?ob0pfnrka50xtck

Password = infected




@Dkavalanche 2012 ........... Desde Buenos Aires... transmitiendo desde la nube toxica................ 










3 comentarios:

Moc dijo...

Buen trabajo colega!! Tengo unos pdf para chusmear :P

Nox dijo...

Muy bueno, sólo comentar que algunos crypters que usan la indocumentada api nativa ZwResumeProcess, para resumir el proceso y ejecutar el malware por lo demás impecable.

Saludos,
Nox.

@Dkavalanche dijo...

MOC! Amigo! que hace?

Mande PDF! que espera!


NOX! Gracias por los comentarios!


Saludos!

#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...