miércoles, 19 de diciembre de 2012

Qhost  - Falso Mensaje Privado de Facebook - Con Algoritmo TripleDES II


En estos días se volvió a propagar este troyano Qhost, el cual esta programado en VBasic y utiliza TDES para ocultar strings. Actualmente afecta a entidades del Perú.

Ver caso del 9-10




Falso Correo enviado.




Icono del Malware





Links:

hxxp://www.batikpekalongan.info/wp-content/Mensaje_facebook.php
hxxp://www.batikpekalongan.info/wp-content/mensaje_facebook.exe



Análisis en V.T. con un indice medio/alto de detecciones, por lo visto alguien lo califico como inofensivo...





Strings codificados en B64 y su correcta decodificación (ver caso 9-10-12 donde fue explicada la rutina)

  loc_402B4C: stfld key (clave del desencriptor)


"ABCDEFGHIJKLMÑOPQRSTUVWXYZabcdefghijklmnñopqrstuvwxyz1234567890"





ldstr "FNhFufDVv1iqOFp7J6yFMSfDG08mcILw" 
C:\\Mis Documentos

ldstr "xqH/CgwW4AAeXCaBE9liAhubB1hmz3GdGH2jzjZrkzlHMH+ncLXVywDvXeEKj/xI"
C:\\Windows\\System32\\drivers\\etc\\hosts

ldstr "FNhFufDVv1iqOFp7J6yFMW2eEUdX+Ou6AlML4KNlMxS5N7/dUEPVJA=="
C:\\Mis Documentos\\Documento1.docx

ldstr "xqH/CgwW4AAeXCaBE9liAhubB1hmz3GdGH2jzjZrkzk0J3nRc+zp3Y5kKeyoYH/T"
C:\\Windows\\System32\\drivers\\winlogon.exe

ldstr "gLxKtNUXp2SE69TZFporYqt8H8rpp35VwskE1WxysLvV52VJczsB/A=="
http://www.grosirbatik.org/robots.txt

ldstr "SQqsp2xA8QYayue/INup3QcFAjZK7cHILBIHfzGjYjCMWK1wE+grdXJzA+oGdpuC507V+GHnzDOQbcBasu6mMg=="
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

ldstr "mP26pvLtpbyjGT2awz+SB4o1+on+xE5lsBjcs9xqIpg="
ConsentPromptBehaviorAdmin

ldstr "ESd7ywzEl7cI/VvhtqAhYA==" 
EnableLUA

ldstr "8scjkqqBETyJhtl6RkHzMRs7loghl/Q5"
PromptOnSecureDesktop

ldstr "SQqsp2xA8QYayue/INup3QcFAjZK7cHILBIHfzGjYjCMWK1wE+grdTln9LqoZDarMU7sV2sp2uo="
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

ldstr "D+jGpmVoxjGBFGfoJGeVhYQsu0CZG5NS"
Windows Defender



Cadenas no encriptadas....




Pharming: hxxp://www.grosirbatik.org/robots.txt







muestra: http://www.mediafire.com/?d96dr3col0dcdcw

password = infected


 Desencriptor  de strings para este caso: http://www.mediafire.com/?rih4c9dwiii8opl

sin password



Eso es todo por el momento.


@Dkavalanche 2012              esperando el fin del mundo.........





martes, 18 de diciembre de 2012

vOlks Botnet : Falsa Postal Terra Premium.

Aquí vemos otro intento de infectar desprevenidos por medio de la ingeniería social, esta vez utilizando un correo falso presuntamente proveniente de un conocido portal de contenidos


Falso correo.

Links:

hxxp://ow.ly/g5M0j
hxxp://jb-electronica.com/pictures_antes/bafle15activo/www.terra.com.pe/postales/server.php
hxxp://jb-electronica.com/pictures_antes/bafle15activo/www.terra.com.pe/postales/Postal.exe

Icono del malware.




Análisis de V.T. con un bajo indice de detecciones.




Proteccion Anti-Debugging del Crypter.




Cadenas interesantes encontradas en el Dump:




00401994   DD dump.004044F8                          UNICODE "5C73797374656D33325C647269766572735C6574635C686F737473" \system32\drivers\etc\hosts
0040199C   DD dump.0040456C                          UNICODE "57494E444952" WINDIR
004019D1   ASCII ")@",0
004019F4   DD dump.00403214                          UNICODE "Shell.Application"
004019FC   DD dump.0040323C                          UNICODE "Open"
00401A00   DD dump.00403248                          UNICODE "ShellExecute"
00401AB8   DD dump.004040B8                          UNICODE "575363726970742E5368656C6C"
00401AC4   DD dump.00404150                          UNICODE "484B4C4D5C534F4654574152455C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E5C" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

00401CD8   DD dump.00404300                          UNICODE "User-Agent"
00401CDC   DD dump.0040431C                          UNICODE "QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC"

00401DB4   DD dump.00404090                          UNICODE "User: "
00401DBC   DD dump.004040A4                          UNICODE "Pass: "
00401E38   DD dump.0040332C                          UNICODE "appdata"
00401E40   DD dump.00403358                          UNICODE "5C46696C655A696C6C615C736974656D616E616765722E786D6C" \FileZilla\sitemanager.xml
00401E48   DD dump.004033C8                          UNICODE "5C46696C655A696C6C615C726563656E74736572766572732E786D6C"
00401E60   DD dump.00403440                          UNICODE "
"
00401E64   DD dump.0040344C                          UNICODE "-------Filezilla FTP-----"
00401E68   DD dump.00403484                          UNICODE "3C5365727665723E"
00401E70   DD dump.004034AC                          UNICODE "
"
00401E78   DD dump.004034C4                          UNICODE ""
00401E7C   DD dump.004034D8                          UNICODE "Numero: "
00401E80   DD dump.004034F0                          UNICODE "Host: "
00401E84   DD dump.00403504                          UNICODE "
"
00401E88   DD dump.00403340                          UNICODE ""
00401E8C   DD dump.00403530                          UNICODE ""
00401E90   DD dump.00403518                          UNICODE "Puerto: "
00401E94   DD dump.00403544                          UNICODE "
"
00401E98   DD dump.00403558                          UNICODE ""
00401E9C   DD dump.0040356C                          UNICODE "Usuario: "
00401EA0   DD dump.00403584                          UNICODE "
"
00401EA4   DD dump.00403598                          UNICODE ""
00401EA8   DD dump.004035AC                          UNICODE "Clave: "
00401EAC   DD dump.004035C0                          UNICODE "
"
00401EB0   DD dump.004035D4                          UNICODE ""
00401EB4   DD dump.004035E8                          UNICODE "Nombre: "
00401EB8   DD dump.00403600                          UNICODE "
"
0040248C   DD dump.00402DD4                          UNICODE 

C&C

"687474703A2F2F6B346E302E696E666F2F70726976382F" 
http://k4n0.info/priv8/
00402494   DD dump.00402E44                          UNICODE "687474703A2F2F6C616E2D7072656D696F732E696E2F70726976382F"
 http://lan-premios.in/priv8/

00402498   DD dump.00402EBC                          UNICODE "BYVOLK"
004024B0   DD dump.00402F78                          UNICODE "AppData"
004024B8   DD dump.00402F8C                          UNICODE "5C737663686F73742E657865" \svchost.exe
004024C0   DD dump.00402FF0                          UNICODE "nxnxQ2XXiw99jhX0iwCVl2fu"
004024D8   DD dump.00403030                          UNICODE "476F6F676C6520496E63" Google Inc







Comando y Control.



Local Pharming







Muestra + Dump : http://www.mediafire.com/?nltcggmbs9dllc9

password = infected


Es todo por el momento.


@Dkavalanche 2012

miércoles, 12 de diciembre de 2012

DokBot : Fabiana Cortez te envió una postal.
Volvió Dorkbot, esta vez, disfrazado de postal Gusanito.com



Falso Correo para engañar a los desprevenidos.






Links:



hxxp://209.217.240.203/~tec2202d/download/Postales/Mensajes/Gusanito/postal.php
hxxp://209.217.240.203/~tec2202d/download/Postales/fabiana_cortez_130b2.exe


Icono del Malware.



 Contador de descargas del malware.

 Index of....




Análisis en V.T. con un indice bajo de detecciones.





BP en Función IsDebuggerPresent en el Crypter.





Modificamos:

MOV EAX, DWORD PTR FS:[18] 
MOV EAX, DWORD PTR DS:[EAX+30] 

los dos por MOV EAX, 0 y seguimos adelante.




BP WriteProcessMemory y luego hacemos el Dump.










Muestra + Dump en: http://www.mediafire.com/?xchj44qq05dz7ab

Password = infected.

Sea cuidadoso!





@Dkavalanche 2012


viernes, 7 de diciembre de 2012


vOlks Botnet :  IDEASCLARO Recibiste un nuevo mensaje multimedia (MMS)

Volvió la campaña para la propagación de vOlks Botnet, afectando a varias entidades Bancarias del Perú.



Falso Correo.






Link


hxxp://bit.ly/iClaroMMS  (redirector)

Php que dependiendo del IP descarga o no el malware.

hxxp://tunomires.info/MMS_CLARO/include.php


hxxp://tunomires.info/MMS_CLARO/ClaroMMS.exe

Log de descargas generado por el php

hxxp://tunomires.info/MMS_CLARO/log.txt



Análisis en VirusTotal con un bajo indice en detecciones.








Aquí sacando la capa de ofuscación del troyano, se trata de un simple crypter programado en VisualBasic.


Crea un Nuevo Proceso




Bp en ZwResumeThread y cuando ocurre hacemos un Dump.







Strings importantes encontrados en el malware:












Panel del C&C de la botnet.

Botnet Panel: http://claromultimendia.com/pejerlz/










Local Pharming, visto con Malzilla, con el nos hacemos pasar por un cliente al utilizar el mismo User-Agent que tiene el troyano.








Descarga de la muestra (sea cuidadoso)

Muestra + Dump + Strings: http://www.mediafire.com/?ob0pfnrka50xtck

Password = infected




@Dkavalanche 2012 ........... Desde Buenos Aires... transmitiendo desde la nube toxica................ 










#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...