miércoles, 19 de diciembre de 2012

Qhost  - Falso Mensaje Privado de Facebook - Con Algoritmo TripleDES II
En estos días se volvió a propagar este troyano Qhost, el cual esta programado en VBasic y utiliza TDES para ocultar strings. Actualmente afecta a entidades del Perú.

 Ver caso del 9-10


Falso Correo enviado.


Icono del Malware



Links:

hxxp://www.batikpekalongan.info/wp-content/Mensaje_facebook.php
hxxp://www.batikpekalongan.info/wp-content/mensaje_facebook.exe



 Análisis en V.T. con un indice medio/alto de detecciones, por lo visto alguien lo califico como inofensivo...



Strings codificados en B64 y su correcta decodificación (ver caso 9-10-12 donde fue explicada la rutina)

   loc_402B4C: stfld key (clave del desencriptor)


"ABCDEFGHIJKLMÑOPQRSTUVWXYZabcdefghijklmnñopqrstuvwxyz1234567890"



ldstr "FNhFufDVv1iqOFp7J6yFMSfDG08mcILw" 
C:\\Mis Documentos

 ldstr "xqH/CgwW4AAeXCaBE9liAhubB1hmz3GdGH2jzjZrkzlHMH+ncLXVywDvXeEKj/xI"
C:\\Windows\\System32\\drivers\\etc\\hosts

 ldstr "FNhFufDVv1iqOFp7J6yFMW2eEUdX+Ou6AlML4KNlMxS5N7/dUEPVJA=="
C:\\Mis Documentos\\Documento1.docx

 ldstr "xqH/CgwW4AAeXCaBE9liAhubB1hmz3GdGH2jzjZrkzk0J3nRc+zp3Y5kKeyoYH/T"
C:\\Windows\\System32\\drivers\\winlogon.exe

 ldstr "gLxKtNUXp2SE69TZFporYqt8H8rpp35VwskE1WxysLvV52VJczsB/A=="
http://www.grosirbatik.org/robots.txt

 ldstr "SQqsp2xA8QYayue/INup3QcFAjZK7cHILBIHfzGjYjCMWK1wE+grdXJzA+oGdpuC507V+GHnzDOQbcBasu6mMg=="
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

 ldstr "mP26pvLtpbyjGT2awz+SB4o1+on+xE5lsBjcs9xqIpg="
ConsentPromptBehaviorAdmin

 ldstr "ESd7ywzEl7cI/VvhtqAhYA==" 
EnableLUA

 ldstr "8scjkqqBETyJhtl6RkHzMRs7loghl/Q5"
PromptOnSecureDesktop

 ldstr "SQqsp2xA8QYayue/INup3QcFAjZK7cHILBIHfzGjYjCMWK1wE+grdTln9LqoZDarMU7sV2sp2uo="
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

 ldstr "D+jGpmVoxjGBFGfoJGeVhYQsu0CZG5NS"
Windows Defender
Cadenas no encriptadas....


Pharming: hxxp://www.grosirbatik.org/robots.txt





muestra: http://www.mediafire.com/?d96dr3col0dcdcw

 password = infected
 Desencriptor  de strings para este caso: http://www.mediafire.com/?rih4c9dwiii8opl

 sin password

Eso es todo por el momento.
@Dkavalanche 2012              esperando el fin del mundo.........



en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!