viernes, 7 de diciembre de 2012


vOlks Botnet :  IDEASCLARO Recibiste un nuevo mensaje multimedia (MMS)

Volvió la campaña para la propagación de vOlks Botnet, afectando a varias entidades Bancarias del Perú.



Falso Correo.






Link


hxxp://bit.ly/iClaroMMS  (redirector)

Php que dependiendo del IP descarga o no el malware.

hxxp://tunomires.info/MMS_CLARO/include.php


hxxp://tunomires.info/MMS_CLARO/ClaroMMS.exe

Log de descargas generado por el php

hxxp://tunomires.info/MMS_CLARO/log.txt



Análisis en VirusTotal con un bajo indice en detecciones.








Aquí sacando la capa de ofuscación del troyano, se trata de un simple crypter programado en VisualBasic.


Crea un Nuevo Proceso




Bp en ZwResumeThread y cuando ocurre hacemos un Dump.







Strings importantes encontrados en el malware:












Panel del C&C de la botnet.

Botnet Panel: http://claromultimendia.com/pejerlz/










Local Pharming, visto con Malzilla, con el nos hacemos pasar por un cliente al utilizar el mismo User-Agent que tiene el troyano.








Descarga de la muestra (sea cuidadoso)

Muestra + Dump + Strings: http://www.mediafire.com/?ob0pfnrka50xtck

Password = infected




@Dkavalanche 2012 ........... Desde Buenos Aires... transmitiendo desde la nube toxica................ 










4 comentarios:

Moc dijo...

Buen trabajo colega!! Tengo unos pdf para chusmear :P

Nox dijo...

Muy bueno, sólo comentar que algunos crypters que usan la indocumentada api nativa ZwResumeProcess, para resumir el proceso y ejecutar el malware por lo demás impecable.

Saludos,
Nox.

@Dkavalanche dijo...

MOC! Amigo! que hace?

Mande PDF! que espera!


NOX! Gracias por los comentarios!


Saludos!

Blogger dijo...

Did you know you can create short urls with Shortest and earn money for every visit to your short urls.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...