martes, 18 de diciembre de 2012

vOlks Botnet : Falsa Postal Terra Premium.

 Aquí vemos otro intento de infectar desprevenidos por medio de la ingeniería social, esta vez utilizando un correo falso presuntamente proveniente de un conocido portal de contenidos
Falso correo.

Links:

 hxxp://ow.ly/g5M0j
hxxp://jb-electronica.com/pictures_antes/bafle15activo/www.terra.com.pe/postales/server.php
hxxp://jb-electronica.com/pictures_antes/bafle15activo/www.terra.com.pe/postales/Postal.exe

 Icono del malware.



Análisis de V.T. con un bajo indice de detecciones.


Proteccion Anti-Debugging del Crypter.




Cadenas interesantes encontradas en el Dump:




00401994   DD dump.004044F8                          UNICODE "5C73797374656D33325C647269766572735C6574635C686F737473" \system32\drivers\etc\hosts
0040199C   DD dump.0040456C                          UNICODE "57494E444952" WINDIR
004019D1   ASCII ")@",0
004019F4   DD dump.00403214                          UNICODE "Shell.Application"
004019FC   DD dump.0040323C                          UNICODE "Open"
00401A00   DD dump.00403248                          UNICODE "ShellExecute"
00401AB8   DD dump.004040B8                          UNICODE "575363726970742E5368656C6C"
00401AC4   DD dump.00404150                          UNICODE "484B4C4D5C534F4654574152455C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E5C" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

00401CD8   DD dump.00404300                          UNICODE "User-Agent"
00401CDC   DD dump.0040431C                          UNICODE "QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC"

00401DB4   DD dump.00404090                          UNICODE "User: "
00401DBC   DD dump.004040A4                          UNICODE "Pass: "
00401E38   DD dump.0040332C                          UNICODE "appdata"
00401E40   DD dump.00403358                          UNICODE "5C46696C655A696C6C615C736974656D616E616765722E786D6C" \FileZilla\sitemanager.xml
00401E48   DD dump.004033C8                          UNICODE "5C46696C655A696C6C615C726563656E74736572766572732E786D6C"
00401E60   DD dump.00403440                          UNICODE "
"
00401E64   DD dump.0040344C                          UNICODE "-------Filezilla FTP-----"
00401E68   DD dump.00403484                          UNICODE "3C5365727665723E"
00401E70   DD dump.004034AC                          UNICODE "
"
00401E78   DD dump.004034C4                          UNICODE ""
00401E7C   DD dump.004034D8                          UNICODE "Numero: "
00401E80   DD dump.004034F0                          UNICODE "Host: "
00401E84   DD dump.00403504                          UNICODE "
"
00401E88   DD dump.00403340                          UNICODE ""
00401E8C   DD dump.00403530                          UNICODE ""
00401E90   DD dump.00403518                          UNICODE "Puerto: "
00401E94   DD dump.00403544                          UNICODE "
"
00401E98   DD dump.00403558                          UNICODE ""
00401E9C   DD dump.0040356C                          UNICODE "Usuario: "
00401EA0   DD dump.00403584                          UNICODE "
"
00401EA4   DD dump.00403598                          UNICODE ""
00401EA8   DD dump.004035AC                          UNICODE "Clave: "
00401EAC   DD dump.004035C0                          UNICODE "
"
00401EB0   DD dump.004035D4                          UNICODE ""
00401EB4   DD dump.004035E8                          UNICODE "Nombre: "
00401EB8   DD dump.00403600                          UNICODE "
"
0040248C   DD dump.00402DD4                          UNICODE 

C&C

"687474703A2F2F6B346E302E696E666F2F70726976382F" 
http://k4n0.info/priv8/
00402494   DD dump.00402E44                          UNICODE "687474703A2F2F6C616E2D7072656D696F732E696E2F70726976382F"
 http://lan-premios.in/priv8/

00402498   DD dump.00402EBC                          UNICODE "BYVOLK"
004024B0   DD dump.00402F78                          UNICODE "AppData"
004024B8   DD dump.00402F8C                          UNICODE "5C737663686F73742E657865" \svchost.exe
004024C0   DD dump.00402FF0                          UNICODE "nxnxQ2XXiw99jhX0iwCVl2fu"
004024D8   DD dump.00403030                          UNICODE "476F6F676C6520496E63" Google Inc







Comando y Control.


Local Pharming







 Muestra + Dump : http://www.mediafire.com/?nltcggmbs9dllc9

 password = infected


Es todo por el momento.
@Dkavalanche 2012

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!