Tal como comente en otra oportunidad, una nueva botnet esta en pleno desarrollo y expansión se trata de PiceBot, un sencillo pero efectivo troyano que realiza local pharming.
Aquí una nueva muestra.
Falsa postal en donde se intenta engañar a los desprevenidos.
Redireccion al sitio de descarga de la amenaza.
Index List del sitio.
El .php verifica el user-agent para validar la descarga.
En este caso no se realiza la descarga y se linkea a gusanito.com
Log de descarga de la amenaza, en casos anteriores este log no existía.
Links:
Icono del malware
Análisis en V.T. con un indice muy bajo de detecciones.
Strings Interesantes en el Malware:
00407BAE ASCII "Archivo",0
00407BCC ASCII "Alternative",0
00407BF2 ASCII "DataString",0
00407C17 ASCII "Info",0
00407C20 ASCII "PiceBOT v.1.5",0
00407C4F ASCII "MS Sans Serif"
00407F5E ASCII "VB6ES.DLL",0
00407FD0 ASCII "NetFord4a",0
00409228 ASCII "Kernel32",0
00409234 DD 9999.00409228 ASCII "Kernel32"
00409238 DD 9999.00409040 ASCII "WriteProfileSectionA"
0040926C ASCII "wininet.dll",0
0040927C ASCII "InternetOpenA",0
0040928C DD 9999.0040926C ASCII "wininet.dll"
00409290 DD 9999.0040927C ASCII "InternetOpenA"
004092C4 ASCII "InternetOpenUrlA"
004092D4 ASCII 0
004092D8 DD 9999.0040926C ASCII "wininet.dll"
004092DC DD 9999.004092C4 ASCII "InternetOpenUrlA"
00409310 ASCII "InternetReadFile"
00409320 ASCII 0
00409324 DD 9999.0040926C ASCII "wininet.dll"
00409328 DD 9999.00409310 ASCII "InternetReadFile"
0040935C ASCII "InternetCloseHan"
0040936C ASCII "dle",0
00409370 DD 9999.0040926C ASCII "wininet.dll"
00409374 DD 9999.0040935C ASCII "InternetCloseHandle"
0040A7B1 MOV DWORD PTR SS:[EBP-120],9999.00408FC8 UNICODE "687474703A2F2F6C616E2D7072656D696F732E696E2F61646D696E2F"
http://lan-premios.in/admin/
0040A821 MOV DWORD PTR SS:[EBP-120],9999.0040905C UNICODE "687474703A2F2F7061706170696368756C612E696E2F61646D696E2F"
http://lan-premios.in/admin/
0040AEE0 MOV DWORD PTR SS:[EBP-44],9999.0040914C UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473"
C:\WINDOWS\System32\drivers\etc\hosts
0040B269 MOV DWORD PTR SS:[EBP-68],9999.004091F0 UNICODE "746F6D612E7068703F4F733D"
toma.php?Os=
0040B376 MOV DWORD PTR SS:[EBP-68],9999.004093A8 UNICODE
"64622F75726C5F6465732E747874" db/url_des.txt
0040B6C7 MOV EBX,9999.00409408 UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865"
C:\WINDOWS\system32\Winter.exe
0040B7A8 MOV DWORD PTR SS:[EBP-44],9999.00409488 UNICODE "696578706C6F7265722E657865"
iexplorer.exe
0040B7F7 MOV DWORD PTR SS:[EBP-44],9999.004094C4 UNICODE "433A5C57494E444F57535C696578706C6F7265722E657865"
C:\WINDOWS\iexplorer.exe
0040B903 MOV EBX,9999.00409408 UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865"
C:\WINDOWS\system32\Winter.exe
Panel del C&C
http://lan-premios.in/admin/panel.php
Conectándonos a la siguiente URL nos informara el servidor del pharming
http://lan-premios.in/admin/toma.php?Os=
LOCAL PHARMING
Es todo por el momento....
@Dkavalanche 2013