Hoy les traigo, para variar, un troyano Dorkbot. Esta muestra me la envió un buen amigo que no quiere que me aburra............
Aquí el engañoso correo a la espera de que algún desprevenido lo descargue y ejecute...
Icono del Malware.
Análisis en V.T., con un indice bajo de detecciones, el malware esta utilizando un VBCrypter para ofuscar el código.
Con OllyDbg se quita la capa de ofuscación y podemos observar que se trata de DorkBot.
En el análisis dinámico del bot, se puede observar la conexión al servidor IRC a la espera de instrucciones, en este caso, el bot-master pide hacer un UPDATE del bot.
Descarga del nuevo malware.
Icono.
Comparamos las dos muestras con un diff y se puede observar algunas leves diferencias, seguramente se esta utilizando el mismo VBCrypter para ofuscar el código.
Análisis de la nueva muestra en VT, con un indice muy bajo.
Hasta el momento no se puede observar ataques de pharming local a entidades Bancarias.
Les dejo las dos muestras + dumps (sin crypter)
http://www.mediafire.com/?ab8twm8ajw8krmw
Password = infected
Eso es todo por el momento.
@DkAvalanche 2012
A HORAS DE LA @EKOPARTY!!!!! FUCK YEAH!
No hay comentarios:
Publicar un comentario