domingo, 16 de septiembre de 2012

Qhost - Falso correo Amor En Linea.

 Este troyano esta afectando a entidades bancarias de Chile, utiliza la ingenieria social para infectar a los desprevenidos.

 Aqui el correo falso.


Link falso:  http://93.104.215.135/~variadas/AmorEnLinea.html

Troyano alojado en: http://176.9.118.68/~chilecom/amor_en_linea/mensaje_de_amor/amor.exe




El link nos redirige a una web que nos hace creer que nos esta descargando un mensaje, que en realidad se trata de un ejecutable.





EL análisis en VirusTotal, nos indica un bajo indice de detecciones 1/42.




Este troyano esta ofuscado con un Crypter, el deofuscado lo realizamos Ollydbg y obtenemos el dump original, el cual se trata de un ejecutable compilado en Visual Basic. (lo pueden observar en la muestra que les dejo)

Pasando este ejecutable de VBasic por un decompilador, podemos obtener el código fuente en assembler y revisar su comportamiento.


Las siguiente son cadenas que podemos encontrar en Hexadecimal, que pasadas a ascii podemos observar de que se tratan.


Aquí el sitio web donde se aloja el pharming:


00402828h ; "67726F6E652E69676E6F72656C6973742E636F6D" - grone.ignorelist.com


Entidades bancarias de Chile afectadas:


00402880h ; "7777772E62616E636F65737461646F2E636C" - www.bancoestado.cl
004028D0h ; "62616E636F65737461646F2E636C" - bancoestado.cl
00402910h ; "7777772E626276612E636C" - www.bbva.cl
00402944h ; "626276612E636C" - bbva.cl
00402968h ; "7777772E62616E636F66616C6162656C6C612E636C" - www.bancofalabella.cl
00402A08h ; "62616E636F66616C6162656C6C612E636C" - bancofalabella.cl
00402A54h ; "7777772E6263692E636C" - www.bci.cl
00402A84h ; "6263692E636C" - bci.cl


Archivo host que sera modificado:

 "5C73797374656D33325C647269766572735C6574635C686F737473" -\system32\drivers\etc\hosts


Llave del registro del auto run.


 "536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E"
Software\Microsoft\Windows\CurrentVersion\Run



  loc_00404180: mov var_A0, 00402AA4h ; "57696E6C6F676F6E" - Winlogon
  loc_0040423B: mov var_C0, 00402AF0h ; "7363737372722E657865" - scssrr.exe
  





Realizando un ping al sitio del pharming nos revela su IP, la que sera utilizada en el archivo .host



Así es como quedara conformado el archivo .host




 muestra + dump + VB code ->  http://www.mediafire.com/?sffqqfzwblpcngl

 pass = infected


Es todo por el momento.


@Dkavalanche 2012









en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!