Al igual que el analsis anterior, vuelven a realizar pharming con Dorkbot sobre varias entidades Bancarias Latinoamericanas.
Lanzador de la amenaza: hxxp://diii.in/
Amenaza localizada en :hxxp://grandbizzare.com/gallery//wp-includes/Ver_Video.exe
Analisis en V.T. con un indice bajo de detecciones.
El troyano esta comprimido con UPX y pasado por un Crypter en VB.
En la imagen esta descompactado y se puede ver el código que utiliza para infectar unidades USB
URL de configuración del pharming:
http://blog.vincechaney.com/wp-content/uploads/2010/04/ww.txt
Add: 03-08-2012
Volvieron a enviar el mismo correo phishing con otro binario y cambiaron el sitio de pharming.
(gracias al aviso de un lector de este Blog)
Link:
http://bc-runovskiy.ru/templates/shaper_simplicity_ii/css/styles/d.php
Redirige a:
http://sonico.panamahatshopping.com/Postal_Sonico.swf.exe
Pharming:
http://aktecplastik.com/chewclub/wy.txt
Conexión al servidor de IRC, se puede observar los comandos del bot master.
Descarga otra amenaza (DorkBot):
hxxp://ensenadalibre.com/media/system/css/sdd.exe
Pharming
Muestras: http://www.mediafire.com/download.php?3901ag3hpky6ghk
password = infected
Es todo por el momento.
@Dkavalanche 2012
3 comentarios:
Hoy llegó el mismo.
Ahora el link remite a: http://bc-runovskiy.ru/templates/shaper_simplicity_ii/css/styles/d.php
Evidentemente alguna porquería descarga desde allí.
Saludos!
Hola Kapangaluis, si debe ser DorkBot pero con otra capa de ofuscación, para que los antivirus no lo detecten. Lo voy a analizar.
Saludos y Gracias.
Confirmado Dorkbot, agregado este análisis.
Publicar un comentario