domingo, 20 de enero de 2013

QHOST - PICEBOT: Nueva Botnet en Latman?


El Viernes recibí para analizar una muestra de un troyano Qhost, que nunca había visto.
Parece ser un emulo o competidor de los ya conocidos vOlk y S.A.P.Z., se estaría comercializando en el mercado negro en u$s140




Falsa postal en donde se intenta engañar a los desprevenidos.






El malware contienen una capa de Crypter en VB con técnicas anti Debugging. (IsDebuggerPresent)








Aquí algunos Strings interesantes del dump sin el crypter.



UNICODE "cmd.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t RE"
UNICODE "484B45595F4C4F43414C5F4D414348494E455C536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
UNICODE "777363726970742E7368656C6C" wscript.shell
UNICODE "696578706C6F726572" iexplorer
UNICODE "WINDIR"
UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
UNICODE "RegWrite"
UNICODE "vb wininet"
UNICODE "76622077696E696E6574" vb wininet
UNICODE "31" 1
UNICODE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr"
UNICODE "777363726970742E7368656C6C" wscript.shell
UNICODE "5245475F44574F5244" REG_DWORD
"RegWrite"
"4D6963726F736F66742E584D4C48545450" Microsoft.XMLHTTP
"Adodb.Stream"
"474554" GET
"Open"
"Send"
"Type"
"responseBody"
"write"
"SaveToFile"
"Close"
"Shell.Application"
"6F70656E"


0040187A   ASCII "VB6ES.DLL",0
004018EC   ASCII "DEAMONFUDDDDDDD",0
004018FC   ASCII "Firefox",0
00401905   ASCII "PiceBot",0
UNICODE "1.0.0"
UNICODE "Windows 95"
UNICODE "Windows 98"
UNICODE "Windows Millenium"
UNICODE "Windows NT 3.51"
UNICODE "Windows NT 4.0"
UNICODE "Windows 2000"
UNICODE "Windows XP"
UNICODE "Windows 2003 (SERVER)"
UNICODE "Windows Vista"
UNICODE "Windows 7"
UNICODE "Unknown"


UNICODE "WINDIR"
UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473"  
C:\WINDOWS\System32\drivers\etc\hosts

UNICODE "746F6D612E7068703F4F733D" toma.php?Os=

UNICODE "64622F75726C5F6465732E747874" db/url_des.txt

UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865" C:\WINDOWS\system32\Winter.exe
UNICODE "696578706C6F7265722E657865"  iexplorer.exe
UNICODE "433A5C57494E444F57535C696578706C6F7265722E657865" C:\WINDOWS\iexplorer.exe
ASCII "ConexionHTTP"
ASCII "DataString"
ASCII "Alternative"
ASCII "Archivo"





Pharming:







Panel de la botnet.





Otros .php interesantes....
















muestra + dump: http://www.mediafire.com/?nrcdedpznndzhoy


Password = infected.




Aquí algo mas de info del creador de este Bot.


Caracteristicas: PiceBOT V.1.5
- Conexion a [ 2 Dominios ]
- Bypass UAC [ Windows 7 & Windows Vista ]
- Manifest integrado
- Kill Administrador de tareas [Opcional]
- Reconoce Sistema aperativo del [Remoto]
- Reconoce Pais del [Remoto]
- Reconoce Ip del [Remoto]
- Update BOT
- Peso del exe [ 28 kb ]
- No necesita dependencias por lo tanto funciona en todos los Sistemas
- Perfecta estabilidad
- Inicia con el sistema
Contacto:xxxxxxx@hotmail.com
Precio:140 USD

http://www.troyanosyhacks.net/2012/12/picebot-v15-privada.html



Edit 25-01-2012

Dentro de la botnet.


Panel Principal




Actualiza el  Malware.






Modificación del Pharming.








Es todo por el momento....



@Dkavalanche 2013








No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...