viernes, 26 de octubre de 2012

vOlks Botnet :  Recibiste un nuevo mensaje multimedia (MMS) 

Vuelve el troyano vOlks para atacar entidades bancarias de Chile, esta vez con un Crypter en VBasic que detecta si esta siendo debugeado (IsDebuggerPresent).


Falso correo Phishing:


Icono del malware, con una clara intención de hacerse pasar por una imagen del tipo thumb o algo parecido.


Análisis en V.T. con un indice super bajo en detecciones 2/44




Aquí ponemos un BP a la función IsDebuggerPresent, para poder sortearla.



 http://msdn.microsoft.com/en-us/library/windows/desktop/ms680345(v=vs.85).aspx


Syntax

BOOL WINAPI IsDebuggerPresent(void);

Parameters

This function has no parameters.

Return value

If the current process is running in the context of a debugger, the return value is nonzero.
If the current process is not running in the context of a debugger, the return value is zero.

Esta es la función: MOV EAX, DWORD PTR FS:[18]
De la explicación de arriba sale que cuando EAX toma el valor 1 es que esta bajo debugging, por lo que tenemos que forzar un 0.

La modificamos dejándola como MOV EAX, 0  
Luego nopeamos y nos queda patcheada la función.
Ver la siguiente imagen:



Luego otro BP a WriteProcessMemory para realizar el DUMP de la muestra.





Strings encontrados en el Dump.


PANELES C&C (solo el primero esta activo)

"687474703A2F2F707562312E6372616264616E63652E636F6D2F7E64616E63652F5765622D41646D696E2F70726976382F"
http://pub1.crabdance.com/~dance/Web-Admin/priv8/
"687474703A2F2F7472756D656C7468732E696E2F70726976382F"
http://trumelths.in/priv8/
"687474703A2F2F706F6C69636566616B652E696E2F70726976382F"
"687474703A2F2F6E6F64726F706572736865782E696E2F70726976382F"

http://nodropershex.in/priv8/
00417080   DD dump.00417C34                          UNICODE "BYVOLK"
00417098   DD dump.00417CF0                          UNICODE "AppData"
004170A0   DD dump.00417D04                          UNICODE "5C737663686F73742E657865"
\svchost.exe
004170A8   DD dump.00417D78                          UNICODE "nxnxQ2XXiw99jhX0iwCVl2fu"
004170C0   DD dump.00417DB8                          UNICODE "476F6F676C6520496E63"
00417104   DD dump.0041786C                          ASCII "Form"
0041712C   DD dump.004178F8                          ASCII "TreServs"
00417154   DD dump.00417904                          ASCII "Timer1"
0041717C   DD dump.0041791C                          ASCII "GmailShoks"
004171A4   DD dump.00417938                          ASCII "HaxoDatex"
004171CC   DD dump.00417944                          ASCII "Contxtos"
004174A4   DD dump.00417710                          ASCII "WhoisvOlks"
004174D0   DD dump.0041771C                          ASCII "Form1"
00417500   DD dump.00417724                          ASCII "HiperTextos"
00417530   DD dump.00417730                          ASCII "MutexRps"
00417560   DD dump.0041773C                          ASCII "AddOsPrime"


00401198   ASCII "WhoisvOlks",0
00401210   ASCII "Form1",0
0040121A   ASCII "Windows Media Pl"



0041669C   DD dump.00418DEC                          UNICODE "484B4C4D5C534F4654574152455C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E5C"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\


0041656C   DD dump.0041923C                          UNICODE "5C73797374656D33325C647269766572735C6574635C686F737473"
\system32\drivers\etc\hosts





"AppData"
 "5C737663686F73742E657865" \svchost.exe (nombre en el sistema)

"User-Agent"

"QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC"


Panel del C&C





Conectándonos simulando ser un BOT y obteniendo la configuración del Pharming.






muestra + dump + strings : http://www.mediafire.com/?d7spzabehoed05e


passw = infected


Es todo por el momento.


@Dkavalanche          2012




martes, 16 de octubre de 2012

vOlks Botnet - Falsa Postal El Gusanito - Pharming


Aquí otro caso de la difundida botnet vOlk, actualmente esta realizando pharming de entidades de Chile.



Icono del malware




Servidor comprometido para alojar el troyano, (vista del Index) podemos ver el .php, .exe y un contador de descargas.



Se lo descargaron 4608 personas.... que no quiere decir que todas las descargas se ejecutaron, pero suponiendo que un 10% lo descargo y lo ejecuto, serian 480 infecciones... un numero relativamente alto.






El malware esta con un Crypter en VB, para ofuscar el código  lo cual es efectivo para engañar a los antivirus, esto lo podemos verificar en el análisis realizado en Virus Total.






Para desofuscarlo con OllyDbg  ponemos un BP en CreateProcessA y CreateProcessW,  ejecutamos con F9 y verificamos si se establece la bandera de CREATE_SUSPENDED



Si esto sucede poner otro BP a ZwResumeThread y F9.


Al caer en el BP



Ejecutamos PE_Tool 






Y Buscamos el proceso que se encuentra creado suspendido (es el que esta por debajo de nuestro ejecutable que estamos debuggeando)


Luego con botón derecho realizamos un DUMP FULL 




Y así obtenemos un dump del ejecutable, no es un ejecutable funcional porque hay que repararlo, pero sirve para analizarlo con un decompilador de Vbasic.



Strings Obtenidos
687474703A2F2F646F736361706F732E696E666F2F636C2F70726976382F" http://doscapos.info/cl/priv8/
626F74732E7068703F6E616D653D" bots.php?name=
76622077696E696E6574" vb wininet (user_agent)
433A5C57696E646F77735C73797374656D5C63737263732E657865" C:\Windows\system\csrcs.exe
536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E" Software\Microsoft\Windows\CurrentVersion\Run




Se trata de vOlks.



Verificando con malzilla, podemos ver a que entidades esta realizando Pharming Local.






muestra + dump + Vbasic  ->  http://www.mediafire.com/?19wi7ddy2c00hy4
passw = infected



Eso es todo por el momento.


@Dkavalanche    2012



domingo, 14 de octubre de 2012

vOlks Botnet - Falso Mensaje Privado de Facebook - Pharming


Aquí otro caso de la difundida botnet vOlk, actualmente esta realizando pharming de entidades del Perú.




Análisis en V.T. con un indice muy bajo en detecciones.



Des ofuscando el binario, ya que tiene una capa de un crypter en VBasic.




Strings:

"626F74732E7068703F6E616D653D" bots.php?name=
"687474703A2F2F7468656361706F2E696E666F2F70652F6D6F6E65792F" http://thecapo.info/pe/money/
"5C73797374656D33325C647269766572735C6574635C686F737473" \system32\drivers\etc\host
"5368656C6C2E4170706C69636174696F6E" Shell.Application
"5C46696C655A696C6C615C736974656D616E616765722E786D6C" \FileZilla\sitemanager.xml
"5C46696C655A696C6C615C726563656E74736572766572732E786D6C" \FileZilla\recentservers.xml
"76622077696E696E6574"  vb wininet (user_agent)



Probando el malware de forma dinámica, se puede observar al sitio donde se conecta (comando y control)


Pharming Local



Panel de la Botnet



Muestra + dump + Vbasic http://www.mediafire.com/?bt4ht3ng9xxtexd
Password = infected




Eso es todo por el momento.


@Dkavalanche    2012






martes, 9 de octubre de 2012

Qhost - Falso Mensaje Privado de Facebook - Con Algoritmo TripleDES

Hoy les traigo un troyano Qhost que utiliza TripleDES para ocultar los strings de su configuración, y así evitar ser detectado por los anti-virus o miradas curiosas. Por la codificación se trataría del mismo autor de el siguiente troyano, que ha cambiado la rutina de codificación de datos.


Falso Correo enviado a las victimas.



Análisis en V.T. con un indice muy bajo de detecciones.



Análisis de condigo con IDA, el troyano no tiene capa de Crypter, solo tiene codificados los datos de su configuración, por ejemplo el archivo que será modificado (.host), el sitio web donde descargara los datos del pharming, mas adelante veremos estas cadenas codificadas.



Por lo observado mas arriba, esta utilizando las Clases Criptograficas de .NET
(System.Security.Cryptography)  http://msdn.microsoft.com/es-es/library/9eat8fht(v=vs.80).aspx



Analizando las class utilizadas este código me sonaba conocido, por lo que lo pueden ver completo aquí:



public static string Decrypt(string cipherString, bool useHashing)
{
    byte[] keyArray;
    //get the byte code of the string

    byte[] toEncryptArray = Convert.FromBase64String(cipherString);

    System.Configuration.AppSettingsReader settingsReader = 
                                        new AppSettingsReader();
    //Get your key from config file to open the lock!
    string key = (string)settingsReader.GetValue("SecurityKey", 
                                                 typeof(String));
            
    if (useHashing)
    {
        //if hashing was used get the hash code with regards to your key
        MD5CryptoServiceProvider hashmd5 = new MD5CryptoServiceProvider();
        keyArray = hashmd5.ComputeHash(UTF8Encoding.UTF8.GetBytes(key));
        //release any resource held by the MD5CryptoServiceProvider

        hashmd5.Clear();
    }
    else
    {
        //if hashing was not implemented get the byte code of the key
        keyArray = UTF8Encoding.UTF8.GetBytes(key);
    }

    TripleDESCryptoServiceProvider tdes = new TripleDESCryptoServiceProvider();
    //set the secret key for the tripleDES algorithm
    tdes.Key = keyArray;
    //mode of operation. there are other 4 modes. 
    //We choose ECB(Electronic code Book)

    tdes.Mode = CipherMode.ECB;
    //padding mode(if any extra byte added)
    tdes.Padding = PaddingMode.PKCS7;

    ICryptoTransform cTransform = tdes.CreateDecryptor();
    byte[] resultArray = cTransform.TransformFinalBlock(
                         toEncryptArray, 0, toEncryptArray.Length);
    //Release resources held by TripleDes Encryptor                
    tdes.Clear();
    //return the Clear decrypted TEXT
    return UTF8Encoding.UTF8.GetString(resultArray);
}



Por lo que rápidamente me puede armar un DesEncriptor de estos datos Codificados.


Cadenas codificadas (están en Base64)


  loc_4020A9: push "e1gKTzuGEJRJxHVXHF0Iho7S9N3ZugWU"
  loc_4020B1: push "PbrgcxeVx+sNjAaoB3yda3hLVKyxYC4s4JBfGjZGxRS+HPhcd4vRG8jlTBswIyYx"
  loc_4020B9: push "e1gKTzuGEJRJxHVXHF0Ihhym4kE9bSGRbFWjXe0OZbQyxlGm5jRGSg=="
  loc_4020C1: push "PbrgcxeVx+sNjAaoB3yda3hLVKyxYC4s4JBfGjZGxRQ0qz3JLyMR9IPOxisJMJcu"
  loc_4020D7: push "Wm5dthHpNDWho2BghixeOddt9ITe3US4yHCDbqok2OAOk6djWRAIrQ=="
  loc_4020DF: push "Wm5dthHpNDWho2BghixeOddt9ITe3US4yHCDbqok2OAOk6djWRAIrQ=="
  loc_4020E7: push "Wm5dthHpNDWho2BghixeOddt9ITe3US4yHCDbqok2OAOk6djWRAIrQ=="
  loc_4020FD: push "Tay6b5RGpGE7a6wcJdZV8LdXmiDlAZbG2yJy44j0rKw5r7QjXmaPCIq1coCheiOEnjWr4yQg9twHne061RWFhQ=="
  loc_402105: push "JsHgDJ5kKVB4U/TZi12rtz19mIITjI9jBaFUBmnrqKo="
  loc_40210D: push "Dra4I3CxSBpn6OS/aaitFg=="
  loc_402115: push "XMW7t6E+D8XXLMm3g3JtXFb0azY1u7ZY"
  loc_40212B: push "Tay6b5RGpGE7a6wcJdZV8LdXmiDlAZbG2yJy44j0rKw5r7QjXmaPCAilMwK6ln9N8c57gdtt1pM="
  loc_402133: push "OhWvoPL57WI4suKtV6/OyxA2GT8h3O5O"



Decodificadas:



e1gKTzuGEJRJxHVXHF0Iho7S9N3ZugWU 
C:\\Mis Documentos

PbrgcxeVx+sNjAaoB3yda3hLVKyxYC4s4JBfGjZGxRS+HPhcd4vRG8jlTBswIyYx - C:\\Windows\\System32\\drivers\\etc\\hosts

e1gKTzuGEJRJxHVXHF0Ihhym4kE9bSGRbFWjXe0OZbQyxlGm5jRGSg==  
C:\\Mis Documentos\\Documento1.docx

PbrgcxeVx+sNjAaoB3yda3hLVKyxYC4s4JBfGjZGxRQ0qz3JLyMR9IPOxisJMJcu
 C:\\Windows\\System32\\drivers\\winlogon.exe  

Wm5dthHpNDWho2BghixeOddt9ITe3US4yHCDbqok2OAOk6djWRAIrQ==  http://celibateunion.com/robots.txt 

Wm5dthHpNDWho2BghixeOddt9ITe3US4yHCDbqok2OAOk6djWRAIrQ==  http://celibateunion.com/robots.txt

Wm5dthHpNDWho2BghixeOddt9ITe3US4yHCDbqok2OAOk6djWRAIrQ== http://celibateunion.com/robots.txt 

Tay6b5RGpGE7a6wcJdZV8LdXmiDlAZbG2yJy44j0rKw5r7QjXmaPCIq1coCheiOEnjWr4yQg9twHne061RWFhQ== 
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

JsHgDJ5kKVB4U/TZi12rtz19mIITjI9jBaFUBmnrqKo= 
ConsentPromptBehaviorAdmin

Dra4I3CxSBpn6OS/aaitFg== 
EnableLUA

XMW7t6E+D8XXLMm3g3JtXFb0azY1u7ZY
PromptOnSecureDesktop

Tay6b5RGpGE7a6wcJdZV8LdXmiDlAZbG2yJy44j0rKw5r7QjXmaPCAilMwK6ln9N8c57gdtt1pM=  SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

OhWvoPL57WI4suKtV6/OyxA2GT8h3O5O
Windows Defender



Key utilizada para la rutina del TDES:


  loc_40245B: push "ABCDEFGHIJKLMÑOPQRSTUVWXYZabcdefghijklmnñopqrstuvwxyz"
  loc_402460: stfld key

....como se ve se puso todo el alfabeto en mayúsculas y minúsculas, como para despistar....


Descargara la configuración del Pharming desde:

http://celibateunion.com/robots.txt 







Como se puede observar esta realizando pharming a entidades Bancarias del Perú.






Muestra del Malware: http://www.mediafire.com/download.php?sxv9ytv9yi3byhs
Pass = infected


Les dejo el desencriptor ya compilado en C# y modificado para solo desencriptar de la pagina que publique mas arriba, por si quieren probar.

Desencriptor en: http://www.mediafire.com/?n3cdt5nc4tcaq4t
Sin password



Es todo por el momento.



@Dkavalanche  2012


jueves, 4 de octubre de 2012

DorkBot:  ClaroClub Ganador del sorteo Smartphone.‏

Hola! volvemos con otra muestra de ingenio por parte de los estafadores, esta vez con una falsa promoción de un sorteo de un SmartPhone.





Icono del malware.


Análisis en V.T. con un indice bajo de detecciones.


El troyano tiene una capa de ofuscación con VBasic, sale poniendo un BP a WriteProcessMemory y dumpeando el buffer.


Strings del dump, se puede ver que se trata de DorkBot.



Análisis dinámico, se observa la conexión al IRC







muestra + dump http://www.mediafire.com/?wx9sky3mf7rducr

password = infected.






@Dkavalanche 2012






#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...