El Viernes recibí para analizar una muestra de un troyano Qhost, que nunca había visto.
Parece ser un emulo o competidor de los ya conocidos vOlk y S.A.P.Z., se estaría comercializando en el mercado negro en u$s140
Falsa postal en donde se intenta engañar a los desprevenidos.
El malware contienen una capa de Crypter en VB con técnicas anti Debugging. (IsDebuggerPresent)
Aquí algunos Strings interesantes del dump sin el crypter.
UNICODE "cmd.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t RE"
UNICODE "484B45595F4C4F43414C5F4D414348494E455C536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
UNICODE "777363726970742E7368656C6C" wscript.shell
UNICODE "696578706C6F726572" iexplorer
UNICODE "WINDIR"
UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
UNICODE "RegWrite"
UNICODE "vb wininet"
UNICODE "76622077696E696E6574" vb wininet
UNICODE "31" 1
UNICODE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr"
UNICODE "777363726970742E7368656C6C" wscript.shell
UNICODE "5245475F44574F5244" REG_DWORD
"RegWrite"
"4D6963726F736F66742E584D4C48545450" Microsoft.XMLHTTP
"Adodb.Stream"
"474554" GET
"Open"
"Send"
"Type"
"responseBody"
"write"
"SaveToFile"
"Close"
"Shell.Application"
"6F70656E"
0040187A ASCII "VB6ES.DLL",0
004018EC ASCII "DEAMONFUDDDDDDD",0
004018FC ASCII "Firefox",0
00401905 ASCII "PiceBot",0
UNICODE "1.0.0"
UNICODE "Windows 95"
UNICODE "Windows 98"
UNICODE "Windows Millenium"
UNICODE "Windows NT 3.51"
UNICODE "Windows NT 4.0"
UNICODE "Windows 2000"
UNICODE "Windows XP"
UNICODE "Windows 2003 (SERVER)"
UNICODE "Windows Vista"
UNICODE "Windows 7"
UNICODE "Unknown"
UNICODE "WINDIR"
UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473"
C:\WINDOWS\System32\drivers\etc\hosts
UNICODE "746F6D612E7068703F4F733D" toma.php?Os=
UNICODE "64622F75726C5F6465732E747874" db/url_des.txt
UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865" C:\WINDOWS\system32\Winter.exe
UNICODE "696578706C6F7265722E657865" iexplorer.exe
UNICODE "433A5C57494E444F57535C696578706C6F7265722E657865" C:\WINDOWS\iexplorer.exe
ASCII "ConexionHTTP"
ASCII "DataString"
ASCII "Alternative"
ASCII "Archivo"
Pharming:
Panel de la botnet.
Otros .php interesantes....
muestra + dump: http://www.mediafire.com/?nrcdedpznndzhoy
Password = infected.
Aquí algo mas de info del creador de este Bot.
Caracteristicas: PiceBOT V.1.5
- Conexion a [ 2 Dominios ]
- Bypass UAC [ Windows 7 & Windows Vista ]
- Manifest integrado
- Kill Administrador de tareas [Opcional]
- Reconoce Sistema aperativo del [Remoto]
- Reconoce Pais del [Remoto]
- Reconoce Ip del [Remoto]
- Update BOT
- Peso del exe [ 28 kb ]
- No necesita dependencias por lo tanto funciona en todos los Sistemas
- Perfecta estabilidad
- Inicia con el sistema
Contacto:xxxxxxx@hotmail.com
Precio:140 USD
http://www.troyanosyhacks.net/2012/12/picebot-v15-privada.html
Edit 25-01-2012
Dentro de la botnet.
Panel Principal
Actualiza el Malware.
Modificación del Pharming.
Es todo por el momento....
@Dkavalanche 2013
No hay comentarios:
Publicar un comentario