miércoles, 13 de febrero de 2013

Troyano Qhost - Falso Regalo McVale de MC-Donald's 


Este troyano utiliza técnicas de cifrado del archivo de configuración del pharming para evitar la mirada de curiosos y despistar a los investigadores. Es igual al siguiente caso, el cual analizamos con Cryptool.



Falso Correo enviado por los defraudadores.






hxxxxtp://mcvalez.mcdonalds.pe.noticieroz.info/vale/sorteo/comida/SkdlcnJpZTE5OTFAaG90bWFpbC5jb20=


El link esta codificado en Base64 y tiene relación con el email de la victima.



Descarga



Nos descarga un .ZIP con un .SCR en el interior.


Icono del malware.






El ejecutable .SCR es un utilitario que descomprime otro zip que en su interior tiene el malware programado en VBasic



Extraemos el .Zip a mano recortando con el editor FlexHex.




Icono del malware.



Luego lo cargamos en el Olly para estudiar su comportamiento.



Strings interesantes:

0040445C   ASCII "URL",0
004044A9   PUSH winlogon.00402844                    UNICODE "/bmuht/segami/ofni.retsboon//:ptth"
00404A53   MOV EDX,winlogon.00402890                 UNICODE "live"
004064FD   PUSH winlogon.004028E4                    UNICODE "=yrtnuoc"
004065A0   MOV DWORD PTR SS:[EBP-74],winlogon.00402  UNICODE " host"
00406797   PUSH winlogon.00402924                    UNICODE "Revisar"
00406D6B   PUSH winlogon.00402960                    UNICODE "stsoh\cte\srevird\23metsys\"
004071B2   PUSH winlogon.00402A30                    UNICODE "php.atad/moc.lootpioeg//:ptth"
00407220   PUSH winlogon.00402A70                    UNICODE "/2"
0040724B   PUSH winlogon.00402A7C                    UNICODE "gpj."
004074AF   PUSH winlogon.00402B48                    UNICODE ""
0040754B   PUSH winlogon.00402B48                    UNICODE ""
00408855   PUSH winlogon.00402E88                    UNICODE "RegWrite"
00408E8E   MOV DWORD PTR SS:[EBP-98],winlogon.00402  UNICODE "00000000"
00408FBE   MOV ESI,winlogon.00402F0C                 UNICODE "0000"
004091E7   PUSH winlogon.00402F24                    UNICODE "ets"






Utilización de la función StrReverse para 


004044A9   PUSH winlogon.00402844                    UNICODE "/bmuht/segami/ofni.retsboon//:ptth"

http://noobster.info/images/thumb/   (HOST DEL PHARMING)


0040724B   PUSH winlogon.00402A7C                    UNICODE "gpj."

.jpg


00406D6B   PUSH winlogon.00402960                    UNICODE "stsoh\cte\srevird\23metsys\"

system32/drivers/etc/hosts



004071B2   PUSH winlogon.00402A30                    UNICODE "php.atad/moc.lootpioeg//:ptth"

http://geoiptool.com/data.php


004064FD   PUSH winlogon.004028E4                    UNICODE "=yrtnuoc"


country=

Del sitio de goiptool.com verifica de que pais se esta accediendo y dependiendo de esto arma la URL para descargar el Pharming


 lat="-34.5875" lng="-58.6725" city="Buenos Aires" country="Argentina" host="xxx.xxx.xx..x" ip="xxx.xxx.xxx"code="AR"/>




Así arma el URL para buscar la configuración del Pharming:

host del pharming /+ country +/ data en hexa /+ .jpg


Verificando, este Qhost afecta a Perú

http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

En caso de fallar la Geoip en country pone el string Revisar

00406797   PUSH winlogon.00402924                    UNICODE "Revisar"



Vemos como la configuración esta codificada.





Como vimos en otra ocasión esta codificado con suma de bytes con una Key 07

Aquí un decente Script en Python para decodificar el archivo de configuración del troyano.

---------------------------------------------------------Python Script----------------------------------------------

import sys
from urllib import FancyURLopener
from random import choice
import string


url ='http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg';
ca = ''
salida = '';
user_agents = [
    'Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11',
#    'Opera/9.25 (Windows NT 5.1; U; en)'
#    'Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.162 Safari/535.19'
#    'Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)'
]


def sumab(string):
    data = []
    for k in xrange(len(string)):
            se = ord(string[k])
            xx = (se - 07)
            data += [chr(xx)]
    return data

class MyOpener(FancyURLopener, object):
    version = choice(user_agents)

myopener = MyOpener()
source = myopener.open(url)
cadena = source.read()


salida = sumab(cadena);


for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca


---------------------------------------------------------Python Script----------------------------------------------


Tomado la config http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg
Obtenemos como Resultado:



# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.


#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo #

#

# Por ejemplo:

#

#      102.54.94.97     rhino.acme.com          # servidor origen

#       38.25.63.10     x.acme.com              # host cliente x


127.0.0.1       localhost 



199.59.58.37 viabcp.com
199.59.58.37 www.viabcp.com
199.59.58.37 zonasegura.viabcp.com
199.59.58.37 telecreditonp.bcp.com.pe
199.59.58.37 telecredito.bcp.com.pe
199.59.58.37 peb1.bbvanetlatam.com
199.59.58.37 bancofalabella.pe
199.59.58.37 www.bancofalabella.pe
199.59.58.37 interbank.com.pe
199.59.58.37 www.interbank.com.pe
199.59.58.37 netinterbank.com.pe
199.59.58.37 scotiabank.com.pe
199.59.58.37 www.scotiabank.com.pe
199.59.58.37 scotiaenlinea.scotiabank.com.pe
199.59.58.37 wiese.com.pe
199.59.58.37 www.wiese.com.pe
199.59.58.37 scotiaenlinea.wiese.com.pe
199.59.58.37 bws.com.pe
199.59.58.37 www.bws.com.pe
199.59.58.37 scotiaenlinea.bws.com.pe
199.59.58.37 bn.com.pe
199.59.58.37 www.bn.com.pe
199.59.58.37 zonasegura1.bn.com.pe
199.59.58.37 correoweb.terra.com.pe
199.59.58.37 correo.speedy.com.pe
199.59.58.37 gmail.com
199.59.58.37 www.gmail.com
199.59.58.37 mail.gmail.com
199.59.58.37 g.msn.com
199.59.58.37 www.g.msn.com
199.59.58.37 hotmail.com
199.59.58.37 www.hotmail.com
199.59.58.37 lives.com
199.59.58.37 login.lives.com
199.59.58.37 outlook.com
199.59.58.37 www.outlook.com
199.59.58.37 livez.com
199.59.58.37 login.livez.com



Por lo que les recomiendo a las entidades financieras y otros afectados pedir la baja del servicio:

http://noobster.info/


Domain ID:D47799647-LRMS
Domain Name:NOOBSTER.INFO
Created On:17-Sep-2012 08:24:10 UTC
Last Updated On:16-Nov-2012 20:30:52 UTC
Expiration Date:17-Sep-2013 08:24:10 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:563bb08ef02c9a8b
Registrant Name:WhoisGuard  Protected
Registrant Organization:WhoisGuard
Registrant Street1:11400 W. Olympic Blvd. Suite 200
Registrant Street2:
Registrant Street3:
Registrant City:Los Angeles
Registrant State/Province:CA
Registrant Postal Code:90064
Registrant Country:US
Registrant Phone: +1.6613102107
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:df2d1c638ea5af3a
Admin Name:WhoisGuard  Protected
Admin Organization:WhoisGuard
Admin Street1:11400 W. Olympic Blvd. Suite 200
Admin Street2:
Admin Street3:
Admin City:Los Angeles
Admin State/Province:CA
Admin Postal Code:90064
Admin Country:US
Admin Phone: +1.6613102107
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:
Billing ID:563bb08ef02c9a8b
Billing Name:WhoisGuard  Protected
Billing Organization:WhoisGuard
Billing Street1:11400 W. Olympic Blvd. Suite 200
Billing Street2:
Billing Street3:
Billing City:Los Angeles
Billing State/Province:CA
Billing Postal Code:90064
Billing Country:US
Billing Phone: +1.6613102107
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:
Tech ID:9614858ef02c9a8b
Tech Name:WhoisGuard  Protected
Tech Organization:WhoisGuard
Tech Street1:11400 W. Olympic Blvd. Suite 200
Tech Street2:
Tech Street3:
Tech City:Los Angeles
Tech State/Province:CA
Tech Postal Code:90064
Tech Country:US
Tech Phone: +1.6613102107
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:
Name Server:NS1.V7HOST.COM
Name Server:NS2.V7HOST.COM
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server:


Muestra: http://dl.dropbox.com/u/80008916/Qhost%2008-02-03.rar


password = infected

Eso es todo por el momento.


@DkAvalanche   2013




PD: Este es mi post Nro:


3 comentarios:

Moc dijo...

Tengo la misma muestra, pero con un correo distinto de pago de tickets. Con este post me ayudaste a resolver el problema que tenia con el codificado lol !!! gracias!!

@Dkavalanche dijo...

Si, la semana pasada mandaron varios mails con distintos tipos de phishings, me alegro Moc que te sirva!


Abrazo!

Blogger dijo...

Anybody else needs a FREE MC DONALD'S GIFTCARD?

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...