lunes, 6 de agosto de 2012

QHost ( botnet S.A.P.Z.): Servicio no tan CLARO. 

 Aquí otro de los tan extendidos intentos de engaño mediante ingeniaría social.

 Falso correo de la empresa CLARO:


El link nos lleva a una web que contiene un frame de tamaño 0,0 el cual nos redirige a un sitio con el troyano.




Análisis del troyano en VT, con un indice muy bajo en detecciones.



El troyano tiene una capa de VBCrypt, con Olly podemos obtener un dump del troyano sin ofuscación, tal cual lo deja al compilar VisualBasic.



En el análisis dinámico se observa el sitio al cual se conecta y baja la configuración del Pharming.
Esta amenaza corresponde a la Botnet S.A.P.Z.
Panel:


Listado de PC's Infectadas:


Muestra: original + dumps : http://www.mediafire.com/?k6j68mkw8bfq2dw 
password = infected

Eso es todo por el momento.

 @DkAvalanche 2012
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!