domingo, 20 de enero de 2013

QHOST - PICEBOT: Nueva Botnet en Latman?
El Viernes recibí para analizar una muestra de un troyano Qhost, que nunca había visto.
Parece ser un emulo o competidor de los ya conocidos vOlk y S.A.P.Z., se estaría comercializando en el mercado negro en u$s140


Falsa postal en donde se intenta engañar a los desprevenidos.




El malware contienen una capa de Crypter en VB con técnicas anti Debugging. (IsDebuggerPresent)






Aquí algunos Strings interesantes del dump sin el crypter.

UNICODE "cmd.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t RE"
UNICODE "484B45595F4C4F43414C5F4D414348494E455C536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
UNICODE "777363726970742E7368656C6C" wscript.shell
UNICODE "696578706C6F726572" iexplorer
UNICODE "WINDIR"
UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
UNICODE "RegWrite"
UNICODE "vb wininet"
UNICODE "76622077696E696E6574" vb wininet
UNICODE "31" 1
UNICODE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr"
UNICODE "777363726970742E7368656C6C" wscript.shell
UNICODE "5245475F44574F5244" REG_DWORD
"RegWrite"
"4D6963726F736F66742E584D4C48545450" Microsoft.XMLHTTP
"Adodb.Stream"
"474554" GET
"Open"
"Send"
"Type"
"responseBody"
"write"
"SaveToFile"
"Close"
"Shell.Application"
"6F70656E"


0040187A   ASCII "VB6ES.DLL",0
004018EC   ASCII "DEAMONFUDDDDDDD",0
004018FC   ASCII "Firefox",0
00401905   ASCII "PiceBot",0
UNICODE "1.0.0"
UNICODE "Windows 95"
UNICODE "Windows 98"
UNICODE "Windows Millenium"
UNICODE "Windows NT 3.51"
UNICODE "Windows NT 4.0"
UNICODE "Windows 2000"
UNICODE "Windows XP"
UNICODE "Windows 2003 (SERVER)"
UNICODE "Windows Vista"
UNICODE "Windows 7"
UNICODE "Unknown"


UNICODE "WINDIR"
UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473"  
C:\WINDOWS\System32\drivers\etc\hosts

 UNICODE "746F6D612E7068703F4F733D" toma.php?Os=

 UNICODE "64622F75726C5F6465732E747874" db/url_des.txt

 UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865" C:\WINDOWS\system32\Winter.exe
UNICODE "696578706C6F7265722E657865"  iexplorer.exe
UNICODE "433A5C57494E444F57535C696578706C6F7265722E657865" C:\WINDOWS\iexplorer.exe
ASCII "ConexionHTTP"
ASCII "DataString"
ASCII "Alternative"
ASCII "Archivo"


Pharming:





Panel de la botnet.



Otros .php interesantes....














muestra + dump: http://www.mediafire.com/?nrcdedpznndzhoy


Password = infected.
Aquí algo mas de info del creador de este Bot.
Caracteristicas: PiceBOT V.1.5
- Conexion a [ 2 Dominios ]
- Bypass UAC [ Windows 7 & Windows Vista ]
- Manifest integrado
- Kill Administrador de tareas [Opcional]
- Reconoce Sistema aperativo del [Remoto]
- Reconoce Pais del [Remoto]
- Reconoce Ip del [Remoto]
- Update BOT
- Peso del exe [ 28 kb ]
- No necesita dependencias por lo tanto funciona en todos los Sistemas
- Perfecta estabilidad
- Inicia con el sistema
Contacto:xxxxxxx@hotmail.com
Precio:140 USD

 http://www.troyanosyhacks.net/2012/12/picebot-v15-privada.html

Edit 25-01-2012

 Dentro de la botnet.
Panel Principal


Actualiza el  Malware.




Modificación del Pharming.






Es todo por el momento....



@Dkavalanche 2013







en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Troyano de Formulario II, Falso Comprobante de deposito. En el día de hoy, me acercaron un correo sospechoso, el cual  intentaba, median...
  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • ATARI ST Bootsector Virus
    Los primeros virus de boot sector aparecieron a mediados y fines de los 80 en lo que por aquel entonces eran las primeras computadoras que ...