martes, 16 de octubre de 2012

vOlks Botnet - Falsa Postal El Gusanito - Pharming


Aquí otro caso de la difundida botnet vOlk, actualmente esta realizando pharming de entidades de Chile.



Icono del malware




Servidor comprometido para alojar el troyano, (vista del Index) podemos ver el .php, .exe y un contador de descargas.



Se lo descargaron 4608 personas.... que no quiere decir que todas las descargas se ejecutaron, pero suponiendo que un 10% lo descargo y lo ejecuto, serian 480 infecciones... un numero relativamente alto.






El malware esta con un Crypter en VB, para ofuscar el código  lo cual es efectivo para engañar a los antivirus, esto lo podemos verificar en el análisis realizado en Virus Total.






Para desofuscarlo con OllyDbg  ponemos un BP en CreateProcessA y CreateProcessW,  ejecutamos con F9 y verificamos si se establece la bandera de CREATE_SUSPENDED



Si esto sucede poner otro BP a ZwResumeThread y F9.


Al caer en el BP



Ejecutamos PE_Tool 






Y Buscamos el proceso que se encuentra creado suspendido (es el que esta por debajo de nuestro ejecutable que estamos debuggeando)


Luego con botón derecho realizamos un DUMP FULL 




Y así obtenemos un dump del ejecutable, no es un ejecutable funcional porque hay que repararlo, pero sirve para analizarlo con un decompilador de Vbasic.



Strings Obtenidos
687474703A2F2F646F736361706F732E696E666F2F636C2F70726976382F" http://doscapos.info/cl/priv8/
626F74732E7068703F6E616D653D" bots.php?name=
76622077696E696E6574" vb wininet (user_agent)
433A5C57696E646F77735C73797374656D5C63737263732E657865" C:\Windows\system\csrcs.exe
536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E" Software\Microsoft\Windows\CurrentVersion\Run




Se trata de vOlks.



Verificando con malzilla, podemos ver a que entidades esta realizando Pharming Local.






muestra + dump + Vbasic  ->  http://www.mediafire.com/?19wi7ddy2c00hy4
passw = infected



Eso es todo por el momento.


@Dkavalanche    2012



No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!