Hoy inauguro la entrada 41 de este Blog, con un troyano Qhost, el cual su fin es realizar Pharming local a la Pc infectada, afectando a varias entidades Bancarias.
El siguiente es el correo phishing enviado a los desprevenidos.
Icono de la amenaza.
El Análisis en Virus Total, nos trae un bajo indice de detecciones, esto se debe a que
el codigo malicioso esta ofuscado por un Crypter en VBasic.
Aplicando un simple BP VirtualProcessMemory en el Ollydbg y dumpenado el buffer, es posible obtener la muestra del binario original sin ofuscar. Este ejecutable, esta programado en VBasic 6, utiliza strings codificados en hexadecimal, que son facilmente pasados a ascii.
Entrada del Registro:
var_B4 = "484B45595F4C4F43414C5F4D414348494E455C534F4654574152455C"
HKEY_LOCAL_MACHINE\SOFTWARE\
Llave de autorun:
"4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E5C"
Microsoft\Windows\CurrentVersion\Run\
Servidores del Pharming:
"706537303635373237352E6E7330312E62697A" -> pe70657275.ns01.biz
"696E74657237303031323566696E616E2E646E73312E7573" -> inter700125finan.dns1.us
"626E3645363136333639364636452E6E7330322E62697A" -> bn6E6163696F6E.ns02.biz
"6276766136323632373636312E6E7330322E62697A" -> bvva62627661.ns02.biz
"6563756136453633363836312E6E73312E6E616D65" -> ecua6E636861.ns1.name
Realizando in Ping a estos servidores podemos observar la IP a la cual responden, esta IP sera utilizada en el archivo .host para el pharming local (ver mas abajo).
Nombre en el sistema:
var_D4 = "73657276696365732E657865" -> services.exe
Nombres de los sitios Web de las entidades Bancarias afectadas.
var_B4 = "7777772E7669616263702E636F6D" -> www.viabcp.com
loc_00403CE5: var_B4 = "6263707A6F6E617365677572612E7669616263702E636F6D" -> bcpzonasegura.viabcp.com
loc_00403D93: var_B4 = "696E74657262616E6B2E636F6D2E7065" -> interbank.com.pe
loc_00403E44: var_B4 = "7777772E696E74657262616E6B2E636F6D2E7065" -> www.interbank.com.pe
loc_00403EF5: var_B4 = "6E6574696E74657262616E6B2E636F6D2E7065" -> netinterbank.com.pe
loc_00404057: var_B4 = "7777772E626E2E636F6D2E7065" -> www.bn.com.pe
loc_00404108: var_B4 = "7A6F6E61736567757261312E626E2E636F6D2E7065" -> zonasegura1.bn.com.pe
loc_004041B9: var_B4 = "6262766162616E636F636F6E74696E656E74616C2E636F6D" -> bbvabancocontinental.com
loc_0040426A: var_B4 = "7777772E6262766162616E636F636F6E74696E656E74616C2E636F6D" -> www.bbvabancocontinental.com
loc_0040431B: var_B4 = "70696368696E6368612E636F6D" -> pichincha.com
loc_004043CC: var_B4 = "7777772E70696368696E6368612E636F6D" -> www.pichincha.com
Archivo .host modificado por el malware:
Muestra Original + Dump + Vbasic : http://www.mediafire.com/?lw7go1xuju86gem
Pass = infected.
Es todo por el momento.
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario