En el día de hoy continua la Campaña de vOlks Botnet, afectando a entidades de Chile.
Utiliza la mismo phishing para el engaño y el mismo Crypter en VB que verifica si esta siendo Debugeado, con la función IsDebuggerPresent ver Aquí.
Por otro lado busca infectar los directorios compartidos en eMule para propagarse por P2P
Link: http://www.colegio-mexico.edu.mx/ENTEL/MMS/entel.php
Icono del Malware.
Dumpeando el troyano.
Icono del malware.
Strings interesantes:
00406724 UNICODE "*\AE:\[v"
00406734 UNICODE "Olk-Botn"
00406744 UNICODE "et]5.0.2"
00406754 UNICODE "\vb6 sou"
00406764 UNICODE "rce\Proy"
00406774 UNICODE "ecto1.vb"
C&C
687474703a2f2f656c2d77616368696d616e2e6e6574 http://el-wachiman.net (Online)
687474703a2f2f656c2d77616368696d616e2e636f6d http://el-wachiman.com (no funciona)
687474703a2f2f656c2d77616368696d616e2e696e666f http://el-wachiman.info (no funciona)
687474703a2f2f656c2d77616368696d616e2e62697a http://el-wachiman.biz (no funciona)
2669SO3d &i=
&STLftps
26STL6d61696c733d &mails=
5a6f6d626965732e7068703f69N" Zombies.php?iName=
http://el-wachiman.net/System/Zombies.php?iName=3qeqwqw
User_Agent que utiliza el troyano para autentificar la conexión.
QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC
si accedemos al URL de arriba sin utilizar este User_Agent, el C&C no nos entregara nada.
Conectándonos con Malzilla y obteniendo la configuración del Pharming:
Utilización de programas como emule para propagarse por medio de redes P2P
0x0000A680 0x0000000B eMule
0x0000A690 0x00000017 IncomingDir
0x0000A6AC 0x0000009D Adobe Acrobat 9 Keygen, Adobe Photoshop CS4 Keygen, Adobe Photoshop CS5 Keygen
0x0000A750 0x00000091 Adobe Photoshop CS5 Extended Keygen, Adobe Photoshop Elements 9.0 Keygen
0x0000A7E8 0x000000B3 Aiseesoft DVD Ripper 5.0.22-Lz0 Keygen,Aiseesoft Total Video Converter (v5.1.1.10) Keygen
0x0000A8A0 0x00000099 Akvis ArtSuite 6.5.2121 Keygen,WinRAR 3.93 Keygen,Virtual DJ Home 7.0 Keygen
0x0000A940 0x00000091 Alcohol 120% 1.9.8.7612,Alcohol 120% 2.0.1.2033,AnyDVD HD 6.6.0.3 Keygen
0x0000A9D8 0x000000A1 Patch Windows 7,Aqualux Deluxe Keygen,Microsoft Office 2007 Professional Keygen
0x0000AA80 0x000000B5 Malwarebytes Anti-Malware Keygen,Ashampoo Burning Studio Keygen,Ashampoo Movie Menu Keygen
0x0000AB3C 0x000000D9 Assasins Creed 2 (2010),Ashampoo Snap 4 4.1 Keygen,TuneUp Utilities Keygen ,Audio Edit Magic 7.6.0.34 Keygen
0x0000AC1C 0x00000047 Local\NTShell Taskman Startup Mutex
0x0000AC68 0x000000DD Auto Hide IP Keygen,Autodesk AutoCAD 2010 Keygen,Autodesk Mudbox 2011 (x64)Keygen,Autodesk Maya Unlimited 2011
0x0000AD4C 0x000000D7 Autodesk Sketchbook Designer 2011 Keygen,Internet Download Manager 5.19 Keygen,AV Voice Changer Gold 7.0.22
0x0000AE28 0x0000002B \SYSTEM32\TaskMgr.exe
0x0000AE5C 0x000000BD Avast AntiVirus 4 8,Avast Internet Security 5.0.545 Keygen,Avast! Pro Antivirus 5.0.677 Keygen
0x0000AF20 0x000000B1 Nero 9 Reloaded (9.4.26.0,AVG Anti-Virus Free Edition 2011,AVG Anti-Virus Pro 9.0 Keygen
0x0000AFD8 0x00000065 Local\TASKMGR.879e4d63-6c0e-4544-97f2-1244bd3f6de0
0x0000B044 0x00000095 AVG PC Tuneup 2011 10.0.0.20,Hex Workshop v6 Keygen,HyperCam 2 Full Keygen
0x0000B0E0 0x0000009F Avira AntiVir Premium 10.0.0.601 Keygen,Nero Multimedia Suite 10.0.13200 Keygen
0x0000B184 0x000000A1 Award Keylogger 1.30 (x86-x64),Backgammon HD 1.4.0 (iPhone),Battlefield 2 (2010)
0x0000B22C 0x000000A9 BitTorrent 7.1.22502 (Portable),Blu-ray to DVD II Pro 2.80 Keygen,Call of Duty Patch
0x0000B2DC 0x000000C5 Call of Duty 4 Modern Warfare Patch,Call of Juarez Bound In Blood Patch,Camtasia Studio 7.1.0.1631
0x0000B3A8 0x0000003B NTShell Taskman Startup Mutex
0x0000B3E8 0x00000091 Convert Genius 3.6.0.36 Keygen,WinZip 14.0.8708 Keygen,CorelDraw 10.412
0x0000B480 0x000000A1 CorelDRAW 10 10.410 Keygen,CorelDraw Graphics Suite X3 Keygen,Counter Strike 1.6
0x0000B528 0x00000073 SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
0x0000B5A0 0x00000013 EnableLUA
0x0000B5B8 0x00000015 SYSTEMROOT
0x0000B5D4 0x000000C3 Counter Strike 1.6 Non Steam Patch,Counter Strike Source Patch,Kaspersky Internet Security Keygen
Muestra + Dump : http://www.mediafire.com/?z8yv8kubedr81df
Password = infected
Eso es todo por el momento.
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario