Aquí otro caso de la difundida botnet vOlk, actualmente esta realizando pharming de entidades de Chile.
Icono del malware
Servidor comprometido para alojar el troyano, (vista del Index) podemos ver el .php, .exe y un contador de descargas.
Se lo descargaron 4608 personas.... que no quiere decir que todas las descargas se ejecutaron, pero suponiendo que un 10% lo descargo y lo ejecuto, serian 480 infecciones... un numero relativamente alto.
El malware esta con un Crypter en VB, para ofuscar el código lo cual es efectivo para engañar a los antivirus, esto lo podemos verificar en el análisis realizado en Virus Total.
Para desofuscarlo con OllyDbg ponemos un BP en CreateProcessA y CreateProcessW, ejecutamos con F9 y verificamos si se establece la bandera de CREATE_SUSPENDED
Si esto sucede poner otro BP a ZwResumeThread y F9.
Al caer en el BP
Ejecutamos PE_Tool
Y Buscamos el proceso que se encuentra creado suspendido (es el que esta por debajo de nuestro ejecutable que estamos debuggeando)
Luego con botón derecho realizamos un DUMP FULL
Y así obtenemos un dump del ejecutable, no es un ejecutable funcional porque hay que repararlo, pero sirve para analizarlo con un decompilador de Vbasic.
Strings Obtenidos
687474703A2F2F646F736361706F732E696E666F2F636C2F70726976382F" http://doscapos.info/cl/priv8/
626F74732E7068703F6E616D653D" bots.php?name=
76622077696E696E6574" vb wininet (user_agent)
433A5C57696E646F77735C73797374656D5C63737263732E657865" C:\Windows\system\csrcs.exe
536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E" Software\Microsoft\Windows\CurrentVersion\Run
Se trata de vOlks.
Verificando con malzilla, podemos ver a que entidades esta realizando Pharming Local.
muestra + dump + Vbasic -> http://www.mediafire.com/?19wi7ddy2c00hy4
passw = infected
Eso es todo por el momento.
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario