miércoles, 8 de agosto de 2012

Dorkbot: Falso mensaje de amorenlinea.com.

Continua la campaña de difusión de la amenaza Dorkbot, esta vez utilizando un falso mensaje de un popular sitio de búsquedas de parejas.

EL link nos dirige a un sitio falso con un script a un php


Descarga de un archivo .Zip



Icono
Se trata de Dorkbot con una capa de VBCrypt.

Análisis en VT, con un indice bajo de detecciones (solo un solo anti virus indica a DorkBot)


Análisis dinámico en el cual se puede observar  los comandos del Botmaster via IRC


 Pharming Local, de entidades Bancarias y de varios sitios de Anti-Virus para prevenir la descarga de actualizaciones o facilitar la descarga de otras amenazas.


hxxp://tekilaz.com/hosts




Muestra del binario + unpack en : http://www.mediafire.com/?vh0cd3j04h7pv8i
password = infected 
 Eso es todo por el momento.
@Dkavalanche        2012
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!