vOlks Botnet :  Recibiste un nuevo mensaje multimedia (MMS) 

Vuelve el troyano vOlks para atacar entidades bancarias de Chile, esta vez con un Crypter en VBasic que detecta si esta siendo debugeado (IsDebuggerPresent).


Falso correo Phishing:

Icono del malware, con una clara intención de hacerse pasar por una imagen del tipo thumb o algo parecido.

Análisis en V.T. con un indice super bajo en detecciones 2/44

Aquí ponemos un BP a la función IsDebuggerPresent, para poder sortearla.

 http://msdn.microsoft.com/en-us/library/windows/desktop/ms680345(v=vs.85).aspx

Syntax

C++

BOOL WINAPI IsDebuggerPresent(void);

Parameters

This function has no parameters.

Return value

If the current process is running in the context of a debugger, the return value is nonzero.

If the current process is not running in the context of a debugger, the return value is zero.

Esta es la función: MOV EAX, DWORD PTR FS:[18]

De la explicación de arriba sale que cuando EAX toma el valor 1 es que esta bajo debugging, por lo que tenemos que forzar un 0.

La modificamos dejándola como MOV EAX, 0  

Luego nopeamos y nos queda patcheada la función.

Ver la siguiente imagen:

Luego otro BP a WriteProcessMemory para realizar el DUMP de la muestra.

Strings encontrados en el Dump.


PANELES C&C (solo el primero esta activo)

"687474703A2F2F707562312E6372616264616E63652E636F6D2F7E64616E63652F5765622D41646D696E2F70726976382F"
http://pub1.crabdance.com/~dance/Web-Admin/priv8/
"687474703A2F2F7472756D656C7468732E696E2F70726976382F"
http://trumelths.in/priv8/
"687474703A2F2F706F6C69636566616B652E696E2F70726976382F"
"687474703A2F2F6E6F64726F706572736865782E696E2F70726976382F"

http://nodropershex.in/priv8/
00417080   DD dump.00417C34                          UNICODE "BYVOLK"
00417098   DD dump.00417CF0                          UNICODE "AppData"
004170A0   DD dump.00417D04                          UNICODE "5C737663686F73742E657865"
\svchost.exe
004170A8   DD dump.00417D78                          UNICODE "nxnxQ2XXiw99jhX0iwCVl2fu"
004170C0   DD dump.00417DB8                          UNICODE "476F6F676C6520496E63"
00417104   DD dump.0041786C                          ASCII "Form"
0041712C   DD dump.004178F8                          ASCII "TreServs"
00417154   DD dump.00417904                          ASCII "Timer1"
0041717C   DD dump.0041791C                          ASCII "GmailShoks"
004171A4   DD dump.00417938                          ASCII "HaxoDatex"
004171CC   DD dump.00417944                          ASCII "Contxtos"
004174A4   DD dump.00417710                          ASCII "WhoisvOlks"
004174D0   DD dump.0041771C                          ASCII "Form1"
00417500   DD dump.00417724                          ASCII "HiperTextos"
00417530   DD dump.00417730                          ASCII "MutexRps"
00417560   DD dump.0041773C                          ASCII "AddOsPrime"


00401198   ASCII "WhoisvOlks",0
00401210   ASCII "Form1",0
0040121A   ASCII "Windows Media Pl"



0041669C   DD dump.00418DEC                          UNICODE "484B4C4D5C534F4654574152455C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E5C"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\


0041656C   DD dump.0041923C                          UNICODE "5C73797374656D33325C647269766572735C6574635C686F737473"
\system32\drivers\etc\hosts





"AppData"
 "5C737663686F73742E657865" \svchost.exe (nombre en el sistema)

"User-Agent"

"QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC"


Panel del C&C

Conectándonos simulando ser un BOT y obteniendo la configuración del Pharming.

muestra + dump + strings : http://www.mediafire.com/?d7spzabehoed05e


passw = infected


Es todo por el momento.


@Dkavalanche          2012