martes, 12 de junio de 2012

Dorkbot - Pineda Pedofilo y Gay.


  Un nuevo intento de atrapar incautos utilizando ingeniería social, la verdad no salgo de mi asombro...










Primera capa de UPX modificado.






C:\Program Files\Common Files\drlwszvxbeo.exe

DNS Query Text
api.wipmania.com IN A +
6699x.in IN A +
• HTTP Queries
HTTP Query Text
api.wipmania.com GET / HTTP/1.1

Análisis de Comodo.

http://camas.comodo.com/cgi-bin/submit?file=f246dde25ca8020e118308d5a436349c9484814fea3467689d40e50174a77d4c


GET / HTTP/1.1

User-Agent: Mozilla/4.0
Host: api.wipmania.com


HTTP/1.1 200 OK
Server: nginx
Date: Mon, 11 Jun 2012 18:30:45 GMT
Content-Type: text/html
Content-Length: 17
Connection: close
Set-Cookie: uid=xw/qB0/WOVU+onp/EwtHAg==; expires=Thu, 31-Dec-37 23:55:55 GMT; domain=.wipmania.com; path=/


80.13.75.21
FR

Dumpeado con Ollydbg.






Aquí vemos como DorkBot infecta una unidad USB, crea una carpeta Recycled dentro de ella coloca una copia del troyano, luego oculta las carpetas que tengamos en la unidad usb, y creara accesos directos al troyano con el mismo nombre que nuestras carpetas.









Muestra: http://www.mediafire.com/?7spi4c3zaoktmgt




Podan encontrar el binario original, el binario sin UPX y el dump.




Es todo por el momento.




@Dkavalance    2012
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Troyano de Formulario II, Falso Comprobante de deposito. En el día de hoy, me acercaron un correo sospechoso, el cual  intentaba, median...
  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • ATARI ST Bootsector Virus
    Los primeros virus de boot sector aparecieron a mediados y fines de los 80 en lo que por aquel entonces eran las primeras computadoras que ...