martes, 19 de febrero de 2013

Troyano Qhost - Falso Premio KFC /  Falso Premio Cinemark

 Nueva campaña del troyano Qhost analizado aquí, esta vez utilizando otro falso premio.
Utiliza codificación de datos para esconder la configuración del Pharming.
Actualmente afecta a varias entidades del Perú y varios sitios de correo electrónico.

Link : http://vale.kfcbuenisimo.com.ec.actualidadez.info/comida/ganadores/premio/c2ltb24uc2F5QGdheS5jb20NCg==

c2ltb24uc2F5QGdheS5jb20NCg== codificado en Base64  corresponde al correo de la victima del phishing.

Descarga con Malzilla:



Corresponde a un .zip con un .scr en su interior, con un Indice muy bajo en detecciones:


Analizando el .SCR se observa que utiliza PKZip para comprimir el ejecutable (malware).





Diagrama del encapsulado del malware.



Analisis en VT del malware extraído del .scr



Strings del malware:
El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

(Puedes encontrar el script en phyton para decodificarlo aquí.)


Pharming:


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x


127.0.0.1       localhost 



142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com

muestra: http://dl.dropbox.com/u/80008916/Qhost%2017-02-13l.rar

password = infected



NUEVO!!! 21-02-2013...............................................................................................................

Troyano como Falso Premio Cinemark

Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.





Link de descarga:
http://sorteo.cinemark.com.servicez.info/cine/ganadores/premio/cHV0b2VscXVlbGVlQGhvdG1haWwuY29tDQo=


Analisis en VT del  Dropper:
https://www.virustotal.com/es/file/054b0be10ec82395f3fbadc02d09662d18fdd586b1cd60414ed5cfe51402837b/analysis/1361486196/


Malware:
https://www.virustotal.com/es/file/473be07617371299698a588900ab889472d27ebffd5d7f331f54975e54b22553/analysis/1361487160/



El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

(Puedes encontrar el script en phyton para decodificarlo aquí.)


PHARMING

142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com





muestra: http://dl.dropbox.com/u/80008916/Qhost%2021-02-03.rar

passw = infected


Espero que las empresas afectadas reclamen la baja del siguiente sitio
http://noobster.info



No se que esperan.......como diría un amigo.... la vagancia no descansa....




NUEVO!!! 25-02-2013...............................................................................................................

Troyano como Falso Video Pornografico de Anne Malherbe

Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.
El malware y el pharming es el mismo... mal por las entidades bancarias que no han hecho
nada para solucionar este tema, con esto no estoy diciendo que lean mi blog, sino que por 
lo evidenciado no cuentan con ningún sistema de detección temprana de este tipo 
de amenazas.



Link Descarga del Dropper:

http://premios.cinemark.com.servicez.info/cine/ganadores/premio/Y2h1cGFsYXB1dG9AZ2F5LmNvbQ==


Analisis del Dropper en V.T.:

https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/1361795939/

Analisis del Malware en V.T.:

https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/



PHARMING

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x
127.0.0.1       localhost 
142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com5





Eso es todo por el momento.


@DkAvalanche   2013
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!