miércoles, 30 de mayo de 2012

DorkBot: Ideas Claro.


Continúa la campaña para la difusión de DorkBot, a través de ingeniería Social.




Mail enviado a las victimas:

Icono de la aplicación maliciosa, parecida al adobe flash.
 Informe de VT, el cual indica un indice bajo de detecciones.


Verificamos que el malware esta comprimido con UPX modificado para dificultar el análisis.



Simplemente modificamos con un editor hexadecimal los datos correspondientes a un archivo UPX legitimo y luego lo descomprimimos (upx -d xxxxxx.exe)





Luego de descomprimir lo cargamos en el Ollydbg para quitarle la capa de VBCrypt.








NgrBot - Dorkbot.








Muestra en: http://www.mediafire.com/?6c5doo75uh5bls2










Eso es todo por el momento.






@DkAvalanche 2012


viernes, 18 de mayo de 2012

Web www.comercioexterior.org.ar con script malicioso.


Un lector me reporto la web en cuestión, debido a que  luego de visitarla su AV le detecto un troyano.


Utilizando Malzilla, observamos el script malicioso y la direccionamiento a otro sitio que
mediante un exploit kit nos descarga un troyano en la PC.


Las Imágenes:

Cargado del Script en el Decoder de Malzilla para luego ejecutar el script, vemos que lo decodifica en un iframe con la URL hxxp://shockingrates.com/mind/in.cgi?6


Cargando hxxp://shockingrates.com/mind/in.cgi?6 en el malzilla y dependiendo del agente que elijamos nos redirige a otro sitio malicioso.



El sitio nos carga un script codificado.


Se trata de un exploit kit que dependiendo del navegador intentara explotar alguna vulnerabilidad.
 Como resultado nos dirige a hxxp://testingmay.com/l/r.php?f=182b5&e=2 efectuando la descarga del troyano

Descarga.





Análisis del troyano con Comodo

http://camas.comodo.com/cgi-bin/submit?file=3066a8d336e5984cf9a2a896d3fb398d01a73a4f66a37765fb17e113a799896d



Analisis de VT





Drweb.com Threat: BackDoor.Maxplus.4956
Fortinet  Threat: W32/Kryptik.AB!tr
AVIRA     Threat: TR/Crypt.XPACK.Gen





Eso es todo por el momento.

@Dkavalance 2012





martes, 15 de mayo de 2012

Qhost utiliza rutina XOR para esconder datos.

Hoy vamos a analizar el siguiente malware que me envío un lector a mi correo.



Este troyano afecta entidades bancarias del Perú modificando el archivo .host
de la PC victima.



Aquí vemos el correo enviado a las victimas, disimulando una postal virtual.





Link:
hxxp://www.atesitaliana.com/video/postales/videopostal.exe

Anubis:



Analizada la muestra en VT, notamos un grado medio de detecciones.






El malware esta programado en VB6, no se encuentra ofuscado su código (VBCrypt), solo noto que tiene cadenas codificadas, como por ejemplo:


"4D88525F7A0C0B32408E5046304C57354490435C6E404B2C0A94165B750C"



Utilizando un decompilador de VB encontramos la llamada a la rutina de desencripcion de la cadena y la rutina.




loc_00402D97: var_28 = "4D88525F7A0C0B32408E5046304C57354490435C6E404B2C0A94165B750C" <- Cadena a desencriptar


loc_00402DA1: Proc_00403FA0(var_28, var_28, ecx)         <-- Llamada a la rutina
loc_00402DAB: var_2C = Proc_00403FA0(var_28, var_28, ecx)
loc_00402DB2: Proc_00404350(var_2C, edx, ecx)




Rutina de desencripcion:


Public Sub Proc_1_0_403FA0()
loc_00403FC2:   var_8 = &H401250
loc_00403FF4:   var_24 = "%ü&/@#$A"   <---- KEY del XOR!!!
loc_00403FFE:   var_20 = 004026ACh
loc_00404008:   var_1C = 1
loc_00404016:   Var_Ret_1 = Len(Me)  
loc_00404028:   var_7C = Var_Ret_1
loc_0040402B:
loc_0040402F: If 00000001h > 0 Then GoTo loc_004041A6 ciclo.
loc_0040403D:   var_3C = 2
loc_00404040:   var_44 = 2
loc_00404056:   var_64 = &H4008
loc_0040405D:   var_54 = Mid$(Me, 1, 2)    
loc_0040408E:   var_3C = 1
loc_00404095:   var_44 = 2
loc_0040409C:   var_5C = var_24        = "%ü&/@#$A"
loc_0040409F:   var_64 = &H4008
  loc_004040B2: 1 = 1 - 0001h
loc_004040C0:   idiv ecx                  
  loc_004040C8: 1 = 1 + 00000001h
loc_004040D4:   var_54 = Mid$(var_24, 1, 1)
loc_004040E5:   var_2C = var_54
loc_00404100:   var_5C = var_20
loc_00404103:   var_64 = 8
loc_0040411B:   var_34 = "&h" & Me                    
loc_00404140:   var_44 = Chr(eax Xor edx)          <-   OPERADOR  XOR!
loc_00404152:   var_54 = var_20 & var_20                          
  loc_00404188: 1 = 1 + 0001h
  loc_0040419A: 00000002h = 00000002h + 00000001h
loc_004041A1:   GoTo loc_0040402B
loc_004041A6:
loc_004041AC:   var_28 = 1
loc_004041B8:   GoTo loc_004041E6
loc_004041E5:   Exit Sub
loc_004041E6:
loc_00404200:   Exit Sub
End Sub





Analizando esta rutina, armo un decodificador XOR en Python



# -*- coding: iso-8859-15 -*-
import operator
import sys
import binascii
ca = ''
keypin = "%ü&/@#$A"
datac  = "46914201255B41610A9F065D25440420419806670B667D1E69B3656E0C7C690066B46F61057F770E63A8716E1266780C4C9F5440334C423579AB4F41244C533279BF535D32464A357399545C294C4A1D7789487360030B3705B1494129574B3305D3520F1266631E76A606002403677B79AB4F41244C5332798F455D3250576F4084430F6F45"; #cadena a desencriptar




salida = '';


def xor(key, string):
    c = 0
    data = []
    for k in xrange(len(string)):
        if c > len(key)-1:
            c = 0
        fi = ord(key[c])
        c += 1
        se = ord(string[k])
        data += [chr(operator.xor(fi, se))]
    return data


cadena = binascii.a2b_hex(datac);
salida = xor(keypin,cadena);


for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca
print



por lo que 4D88525F7A0C0B32408E5046304C57354490435C6E404B2C0A94165B750C


Decodifica como: http://servipostales.com/h0t5/
Conectandome a este URL con malzilla obtenemos el string:



Cargando este string en el decodificador en python (variable datac)

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




Decodifica como:

127.0.0.1 localhost 199.91.172.235 bn.com 199.91.172.235 bn.com.pe 199.91.172.235 www.bn.com 199.91.172.235 www.bn.com.pe 199.91.172.235 http://bn.com 199.91.172.235 http://bn.com.pe 199.91.172.235 http://www.bn.com.pe 199.91.172.235 zonasegura1.bn.com.pe 199.91.172.235 www.zonasegura1.bn.com.pe 199.91.172.235 http://zonasegura1.bn.com.pe 199.91.172.235 http://www.zonasegura1.bn.com.pe 199.91.172.235 www.bbvabancocontinental.com 199.91.172.235 bbvabancocontinental.com 199.91.172.235 http://www.bbvabancocontinental.com/


Son los sitios de phishing que afectan a entidades bancarias del Perú




También en el cuerpo del troyano encontramos la siguiente cadena:




46914201255B41610A9F065D25440420419806670B667D1E69B3656E0C7C690066B46F61057F770E63A8716E1266780C4C9F5440334C423579AB4F41244C533279BF535D32464A357399545C294C4A1D7789487360030B3705B1494129574B3305D3520F1266631E76A606002403677B79AB4F41244C5332798F455D3250576F4084430F6F45


Decodifica como:


cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\  /v Monitor /t REG_SZ /d C:\Windows\scrrss.exe /f


Es la llave del registro y el nombre del troyano que tendrá en el sistema.




Binario en http://www.mediafire.com/?irura6lwln1vknr

(La password me la piden por mensaje)


Eso es todo por el momento.

@DKavalanche 2012




PD: Por favor comenten... así no me siento solo...

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!