En el día de hoy me llego el siguiente correo falso, el cual intenta mostrar un video XXX de una Miss Ecuador.
Link: hxxp://diii.in/
Descarga: hxxp://www.acgorz.me/Ver_Video.exe
Icono del malware, simulando ser un Flash
Análisis en VT, con un indice muy bajo de detecciones.
El archivo esta compactado con UPX y modificado, que al querer desempaquetarlo con el upx -d el troyano deja de funcionar, ademas trae unas cadenas de caracteres para despistar el trabajo de los analistas de la muestra.
687474703A2F2F7777772E6D61732D7365617263682E696E666F2F6170692E706870 - http://www.mas-search.info/api.php
687474703A2F2F7777772E647265797365617263682E696E666F -> http://www.dreysearch.info
Por lo que lo desempacamos a mano.
Resultando ser un DorkBot - NgrBot.
El malware esta en este momento tomando la configuración del pharming desde la URL http://studio-108.ru/ww.txt corresponde a una entidad Bancaria de Colombia.
Esta amenaza esta configurada para infectar dispositivos USB.
Muestra original y el Dump: http://www.mediafire.com/?glueatagx9tganj
Es todo por el momento.
@Dkavalanche 2012.
1 comentario:
Gracias Moc, mi e-mail es dravalanchelabs[en]yahoo.com.ar
Saludos.
Publicar un comentario