Luego de unas merecidas vacaciones, vuelvo con otro caso de la Botnet vOlk, en esta oportunidad con un supuesto video hot de una amiga perdida....
Link Redirector: hxxp://reversiblesweatshirts.com/form/Notificacion/Facebook/Descargas/facebook.php
Trojan: http://reversiblesweatshirts.com/form/Notificacion/Facebook/Descargas/id=143V10222.exe
Icono de la Amenaza:
Esta amenaza esta codificada con un VBCrypt, para tratar de ocultar su código, igualmente es fácil de obtener un dump del binario original con OllyDbg.
Aquí vemos que se trata de un troyano vOlk Botnet:
Icono del malware:
Se trata de un binario compilado en VB, por lo cual podemos obtener el código fuente en assembler mediante un decompiler (el código fuente se los dejo en la muestra).
Datos codificados en Hexadecimal que traducidos a texto nos muestra datos interesantes:
loc_004048F0: mov var_174, 004030CCh ; "626F74732E7068703F6E616D653D" bots.php?name=
loc_004043F2: mov var_80, 00402C70h ; "687474703A2F2F7777772E7665726761736174692E636F6D2F57656250616E656C2F70726976382F"
http://www.vergasati.com/WebPanel/priv8/ (<- Panel de la Botnet)
loc_004045EF: mov var_90, 00403030h ; "5C73797374656D33325C647269766572735C6574635C686F737473"
\system32\drivers\etc\hosts
Todo el análisis fue realizado sin infectar la pc.
Panel sin control de sesion:
http://www.vergasati.com/WebPanel/priv8/Controladores/Filezilla.php?pais=
Posible SQLi en : :)
Muestra + Dump + VBCode en: http://www.mediafire.com/?6v8cdmfv5xveuwv
password = infected
Es todo por el momento.
@Dkavalanche 2012.
No hay comentarios:
Publicar un comentario