viernes, 31 de agosto de 2012

DorkBot: Falso Video intimo de Shakira y Pique.

Hace apenas horas me llego el siguiente correo sobre un falso video xxx de Shakira y Pique.
Se trata nada menos de DorkBot, la tan extendida amenaza en Latam.

Las imagen habla por si sola, ingeniería social al extremo.



Link y binario alojado en un sitio falso que abusa de la marca PlayBoy.

hxxp://www.playboy-latino.net/Shakira_Y_Pique.php
hxxp://www.playboy-latino.com/Video_Porno_Shakira.mpeg.exe



Análisis en V.T. con un indice moderado de detecciones.





Icono del malware.



Utilizando OllyDbg, se puede quitar la capa de ofuscado del binario.



El análisis dinámico indica que el malware descarga dos amenazas de distintos sitios, ambas son diferentes a la original, cada una con una ofuscación distinta, pero en ambos casos se trata también de ngrBot / DorkBot.

Sniffer


Análisis del binario z8.exe en V.T., arroja como resultado un 1/41 como indice de detección (bien por AhnLab).






Descarga del binario Killer2012.exe, también un ngrBot.




Análisis en V.T. con un indice de detecciones de 1/41, Fortinet indica que es un Zbot...




Hasta el momento no se observa que esta amenaza este realizando Pharming a entidades Bancarias, pero igualmente todos los datos de las victimas infectadas se encuentran vulnerados por esta amenaza.




Muestras + dumps (sin ofuscado de DorkBot):  http://www.mediafire.com/?izt90g6979j9oju

password = infected.

Es todo por el momento.


@Dkavalanche         2012



miércoles, 29 de agosto de 2012


Qhost: Amor en Linea - postal de Cinthia Rojas‏.


Hoy les traigo un simple, pero efectivo, troyano Qhost. Siempre utilizando la ingeniería social como elemento principal para la infección de las victimas
En este caso afecta a varios sitios populares de Internet y entidades bancarias de Chile.


Link:
hxxp://184.82.146.86/gusanito/esp/tarjetas/postales/amistad/postal_gusanito.exe


Este nos descarga a un ejecutable que esta compactado con UPX


Descomprimimos fácilmente con UPX -d archivo.exe

Y a simple vista con un editor Hexadecimal podemos observar el Pharming.


Por lo que se observa el troyano genera un archivo .bat para luego con el, hacer un inclusión de lineas al archivo .hosts

echo 184.82.146.86 http://bancochile.cl >> %windir%\system32\drivers\etc\hosts

(En la imagen puede verse los sitios afectados por el troyano)


Luego de la modificación del archivo host, abre una web de gusanito.com para despistar

start http://www.gusanito.com/esp/tarjetas/postales/amistad/faltas_sobre_la_arena/937



Muestra (original + sin UPX) http://www.mediafire.com/?yklxyexzch4c5vg
Password = infected



Es todo por el momento.


@Dkavalanche  2012





martes, 28 de agosto de 2012

Falso Video El Comercio.pe : vOlk Botnet


Una nueva campaña para atrapar incautos.



Icono del malware que se encuentra codificado con un VBCrypt.



Utilizando Ollydbg, se obtiene un dump con el .exe original sin la capa de ofuscación.




Utilizando el User Agent adecuado y el URL donde se conecta el troyano, el C&C nos devuelve el pharming local que esta realizando, en este caso afecta a un banco del Perú.






Es todo por el momento.


@Dkavalanche  2012

viernes, 24 de agosto de 2012

Andrea Rosales Video Hot: vOlk Botnet.

Luego de unas merecidas vacaciones, vuelvo con otro caso de la Botnet vOlk, en esta oportunidad con un supuesto video hot de una amiga perdida....





Link Redirector: hxxp://reversiblesweatshirts.com/form/Notificacion/Facebook/Descargas/facebook.php
Trojan: http://reversiblesweatshirts.com/form/Notificacion/Facebook/Descargas/id=143V10222.exe

Icono de la Amenaza:


 Análisis en Virus Total:









Esta amenaza esta codificada con un VBCrypt, para tratar de ocultar su código, igualmente es fácil de obtener un dump del binario original con OllyDbg. 
Aquí vemos que se trata de un troyano vOlk Botnet:





Icono del malware:

Se trata de un binario compilado en VB, por lo cual podemos obtener el código fuente en assembler mediante un decompiler (el código fuente se los dejo en la muestra).



Datos codificados en Hexadecimal que traducidos a texto nos muestra datos interesantes:

 loc_004048F0: mov var_174, 004030CCh ; "626F74732E7068703F6E616D653D" bots.php?name=


  loc_004043F2: mov var_80, 00402C70h ; "687474703A2F2F7777772E7665726761736174692E636F6D2F57656250616E656C2F70726976382F"
  http://www.vergasati.com/WebPanel/priv8/    (<- Panel de la Botnet)

  loc_004045EF: mov var_90, 00403030h ; "5C73797374656D33325C647269766572735C6574635C686F737473" 
  \system32\drivers\etc\hosts




Todo el análisis fue realizado sin infectar la pc.


Panel sin control de sesion:

http://www.vergasati.com/WebPanel/priv8/Controladores/Filezilla.php?pais=



Posible SQLi en :     :)


Muestra + Dump + VBCode en: http://www.mediafire.com/?6v8cdmfv5xveuwv
password = infected


Es todo por el momento.

@Dkavalanche 2012.

miércoles, 8 de agosto de 2012

Dorkbot: Falso mensaje de amorenlinea.com.

Continua la campaña de difusión de la amenaza Dorkbot, esta vez utilizando un falso mensaje de un popular sitio de búsquedas de parejas.



EL link nos dirige a un sitio falso con un script a un php


Descarga de un archivo .Zip



Icono
Se trata de Dorkbot con una capa de VBCrypt.

Análisis en VT, con un indice bajo de detecciones (solo un solo anti virus indica a DorkBot)


Análisis dinámico en el cual se puede observar  los comandos del Botmaster via IRC


 Pharming Local, de entidades Bancarias y de varios sitios de Anti-Virus para prevenir la descarga de actualizaciones o facilitar la descarga de otras amenazas.


hxxp://tekilaz.com/hosts




Muestra del binario + unpack en : http://www.mediafire.com/?vh0cd3j04h7pv8i
password = infected 
Eso es todo por el momento.


@Dkavalanche        2012

martes, 7 de agosto de 2012

Dorkbot: Falso Video CNN Londres 2012 Olimpiadas Sexuales.

Continua la campaña para extender este malware en Latinoamérica, afectando en este caso a entidades Bancarias de Ecuador. (ver entrada anterior)



Link: http://diii.in/
Redirige al siguiente binario:
hxxp://www.iobella.es//wp-content/uploads/Ver_Video.exe



Análisis en VT con un indice bajo de detecciones, el ejecutable se trata de troyano DorkBot con un Crypter en VB con UPX modificado.


NgrBot



Pharming a entidades Bancarias

hxxp://globalmed.ee/ww.txt



muestra + unpack: http://www.mediafire.com/?ipf5ebd7qwv1jmr
password = infected

Es todo por el momento.



@Dkavalanche   2012

lunes, 6 de agosto de 2012

QHost ( botnet S.A.P.Z.): Servicio no tan CLARO. 

Aquí otro de los tan extendidos intentos de engaño mediante ingeniaría social.

Falso correo de la empresa CLARO:




El link nos lleva a una web que contiene un frame de tamaño 0,0 el cual nos redirige a un sitio con el troyano.




Análisis del troyano en VT, con un indice muy bajo en detecciones.



El troyano tiene una capa de VBCrypt, con Olly podemos obtener un dump del troyano sin ofuscación, tal cual lo deja al compilar VisualBasic.



En el análisis dinámico se observa el sitio al cual se conecta y baja la configuración del Pharming.



Esta amenaza corresponde a la Botnet S.A.P.Z.

Panel:




Listado de PC's Infectadas:




Muestra: original + dumps : http://www.mediafire.com/?k6j68mkw8bfq2dw 
password = infected



Eso es todo por el momento.

@DkAvalanche 2012

jueves, 2 de agosto de 2012

DorkBot: falso video xxx Cecilia Muriel 


Otra vez Dorkbot, encabezando las amenazas en Latam, como siempre apelando a la ingeniería social a la espera de cautivar a los curiosos.



Link: http://diii.in/
Redirige al siguiente binario:
hxxp://drrundle.co.uk/Ver_Video.exe


Dump del troyano:


Análisis dinámico del troyano, puede verse el pharming que esta realizando a entidades Bancarias.

www.digabriele.it/wp-content/themes/DeepFocus/temp/ww.txt



Es todo por el momento.




@Dkavalanche     2012

#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...