domingo, 14 de octubre de 2012

vOlks Botnet - Falso Mensaje Privado de Facebook - Pharming
Aquí otro caso de la difundida botnet vOlk, actualmente esta realizando pharming de entidades del Perú.


Análisis en V.T. con un indice muy bajo en detecciones.



Des ofuscando el binario, ya que tiene una capa de un crypter en VBasic.




Strings:

"626F74732E7068703F6E616D653D" bots.php?name=
"687474703A2F2F7468656361706F2E696E666F2F70652F6D6F6E65792F" http://thecapo.info/pe/money/
"5C73797374656D33325C647269766572735C6574635C686F737473" \system32\drivers\etc\host
"5368656C6C2E4170706C69636174696F6E" Shell.Application
"5C46696C655A696C6C615C736974656D616E616765722E786D6C" \FileZilla\sitemanager.xml
"5C46696C655A696C6C615C726563656E74736572766572732E786D6C" \FileZilla\recentservers.xml
"76622077696E696E6574"  vb wininet (user_agent)



Probando el malware de forma dinámica, se puede observar al sitio donde se conecta (comando y control)


Pharming Local



Panel de la Botnet



 Muestra + dump + Vbasic http://www.mediafire.com/?bt4ht3ng9xxtexd
Password = infected


Eso es todo por el momento.
@Dkavalanche    2012




en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!