miércoles, 12 de diciembre de 2012

DokBot : Fabiana Cortez te envió una postal.
 Volvió Dorkbot, esta vez, disfrazado de postal Gusanito.com


Falso Correo para engañar a los desprevenidos.




Links:
hxxp://209.217.240.203/~tec2202d/download/Postales/Mensajes/Gusanito/postal.php
hxxp://209.217.240.203/~tec2202d/download/Postales/fabiana_cortez_130b2.exe
Icono del Malware.

 Contador de descargas del malware.

 Index of....
Análisis en V.T. con un indice bajo de detecciones.


BP en Función IsDebuggerPresent en el Crypter.


Modificamos:
MOV EAX, DWORD PTR FS:[18] 
MOV EAX, DWORD PTR DS:[EAX+30] 

 los dos por MOV EAX, 0 y seguimos adelante.


BP WriteProcessMemory y luego hacemos el Dump.







Muestra + Dump en: http://www.mediafire.com/?xchj44qq05dz7ab
Password = infected.

 Sea cuidadoso!


@Dkavalanche 2012
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!