martes, 30 de abril de 2013

 Troyano PICEBOT: Ataca de nuevo!

Tal como comente en otra oportunidad, una nueva botnet esta en pleno desarrollo y expansión  se trata de PiceBot, un sencillo pero efectivo troyano que realiza local pharming.

Aquí una nueva muestra.


Falsa postal en donde se intenta engañar a los desprevenidos.






Redireccion al sitio de descarga de la amenaza.


Index List del sitio.



El .php verifica el user-agent para validar la descarga.




En este caso no se realiza la descarga y se linkea a gusanito.com









Log de descarga de la amenaza, en casos anteriores este log no existía.







Links:



Icono del malware


Análisis en V.T. con un indice muy bajo de detecciones.






Strings Interesantes en el Malware:


00407BAE   ASCII "Archivo",0
00407BCC   ASCII "Alternative",0
00407BF2   ASCII "DataString",0
00407C17   ASCII "Info",0
00407C20   ASCII "PiceBOT v.1.5",0
00407C4F   ASCII "MS Sans Serif"
00407F5E   ASCII "VB6ES.DLL",0
00407FD0   ASCII "NetFord4a",0

00409228   ASCII "Kernel32",0
00409234   DD 9999.00409228                          ASCII "Kernel32"
00409238   DD 9999.00409040                          ASCII "WriteProfileSectionA"
0040926C   ASCII "wininet.dll",0
0040927C   ASCII "InternetOpenA",0
0040928C   DD 9999.0040926C                          ASCII "wininet.dll"
00409290   DD 9999.0040927C                          ASCII "InternetOpenA"
004092C4   ASCII "InternetOpenUrlA"
004092D4   ASCII 0
004092D8   DD 9999.0040926C                          ASCII "wininet.dll"
004092DC   DD 9999.004092C4                          ASCII "InternetOpenUrlA"
00409310   ASCII "InternetReadFile"
00409320   ASCII 0
00409324   DD 9999.0040926C                          ASCII "wininet.dll"
00409328   DD 9999.00409310                          ASCII "InternetReadFile"
0040935C   ASCII "InternetCloseHan"
0040936C   ASCII "dle",0
00409370   DD 9999.0040926C                          ASCII "wininet.dll"
00409374   DD 9999.0040935C                          ASCII "InternetCloseHandle"

0040A7B1   MOV DWORD PTR SS:[EBP-120],9999.00408FC8  UNICODE "687474703A2F2F6C616E2D7072656D696F732E696E2F61646D696E2F" 

http://lan-premios.in/admin/

0040A821   MOV DWORD PTR SS:[EBP-120],9999.0040905C  UNICODE "687474703A2F2F7061706170696368756C612E696E2F61646D696E2F"

http://lan-premios.in/admin/

0040AEE0   MOV DWORD PTR SS:[EBP-44],9999.0040914C   UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473" 

C:\WINDOWS\System32\drivers\etc\hosts

0040B269   MOV DWORD PTR SS:[EBP-68],9999.004091F0   UNICODE "746F6D612E7068703F4F733D"

 toma.php?Os= 

0040B376   MOV DWORD PTR SS:[EBP-68],9999.004093A8   UNICODE 

"64622F75726C5F6465732E747874" db/url_des.txt



0040B6C7   MOV EBX,9999.00409408                     UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865" 

C:\WINDOWS\system32\Winter.exe

0040B7A8   MOV DWORD PTR SS:[EBP-44],9999.00409488   UNICODE "696578706C6F7265722E657865" 

iexplorer.exe

0040B7F7   MOV DWORD PTR SS:[EBP-44],9999.004094C4   UNICODE "433A5C57494E444F57535C696578706C6F7265722E657865"

 C:\WINDOWS\iexplorer.exe

0040B903   MOV EBX,9999.00409408                     UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865"

C:\WINDOWS\system32\Winter.exe








Panel del C&C 
http://lan-premios.in/admin/panel.php



Conectándonos a la siguiente URL nos informara el servidor del pharming

http://lan-premios.in/admin/toma.php?Os=



LOCAL PHARMING







Es todo por el momento....



@Dkavalanche 2013


No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...