domingo, 14 de octubre de 2012

vOlks Botnet - Falso Mensaje Privado de Facebook - Pharming


Aquí otro caso de la difundida botnet vOlk, actualmente esta realizando pharming de entidades del Perú.




Análisis en V.T. con un indice muy bajo en detecciones.



Des ofuscando el binario, ya que tiene una capa de un crypter en VBasic.




Strings:

"626F74732E7068703F6E616D653D" bots.php?name=
"687474703A2F2F7468656361706F2E696E666F2F70652F6D6F6E65792F" http://thecapo.info/pe/money/
"5C73797374656D33325C647269766572735C6574635C686F737473" \system32\drivers\etc\host
"5368656C6C2E4170706C69636174696F6E" Shell.Application
"5C46696C655A696C6C615C736974656D616E616765722E786D6C" \FileZilla\sitemanager.xml
"5C46696C655A696C6C615C726563656E74736572766572732E786D6C" \FileZilla\recentservers.xml
"76622077696E696E6574"  vb wininet (user_agent)



Probando el malware de forma dinámica, se puede observar al sitio donde se conecta (comando y control)


Pharming Local



Panel de la Botnet



Muestra + dump + Vbasic http://www.mediafire.com/?bt4ht3ng9xxtexd
Password = infected




Eso es todo por el momento.


@Dkavalanche    2012






No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!