vOlks Botnet : IDEASCLARO Recibiste un nuevo mensaje multimedia (MMS)
Volvió la campaña para la propagación de vOlks Botnet, afectando a varias entidades Bancarias del Perú.
Falso Correo.
Link
hxxp://bit.ly/iClaroMMS (redirector)
Php que dependiendo del IP descarga o no el malware.
hxxp://tunomires.info/MMS_CLARO/include.php
hxxp://tunomires.info/MMS_CLARO/ClaroMMS.exe
Log de descargas generado por el php
hxxp://tunomires.info/MMS_CLARO/log.txt
Análisis en VirusTotal con un bajo indice en detecciones.
Aquí sacando la capa de ofuscación del troyano, se trata de un simple crypter programado en VisualBasic.
Crea un Nuevo Proceso
Bp en ZwResumeThread y cuando ocurre hacemos un Dump.
Strings importantes encontrados en el malware:
Panel del C&C de la botnet.
Botnet Panel: http://claromultimendia.com/pejerlz/
Local Pharming, visto con Malzilla, con el nos hacemos pasar por un cliente al utilizar el mismo User-Agent que tiene el troyano.
Descarga de la muestra (sea cuidadoso)
Muestra + Dump + Strings: http://www.mediafire.com/?ob0pfnrka50xtck
Password = infected
@Dkavalanche 2012 ........... Desde Buenos Aires... transmitiendo desde la nube toxica................
2 comentarios:
Muy bueno, sólo comentar que algunos crypters que usan la indocumentada api nativa ZwResumeProcess, para resumir el proceso y ejecutar el malware por lo demás impecable.
Saludos,
Nox.
MOC! Amigo! que hace?
Mande PDF! que espera!
NOX! Gracias por los comentarios!
Saludos!
Publicar un comentario