miércoles, 4 de septiembre de 2013

Falsos Correos de UPS II, ahora en forma de Zeus!.

Se volvió con la falsa campaña de UPS que comentamos en otro post,  esta vez lanzaron un Zeus que afecta a entidades de Italia y sitios de redes sociales.

Icono de la Amenaza.


Analisis en VT, con un bajo indice de detecciones.


Analisis del dump en VT sin el crypter y siendo detectado por varios A.V.



Luego del posteo en Tw y copiado @MalwareMustDie, @gN3med1s descubre las urls que se encuentran afectadas por este Zeus





Puede verlo aqui




Una opción fácil para el obtener las Urls que son monitoreadas por Zeus, es infectar una PC y realizar un dump de la memoria con el utilitario de moonsols + strings de sysinternals
win32dd.exe /f zbot.dmp  (obtenemos el dump de la memoria)


De mas esta decir que podemos utilizar este dump y pasarlo por volatility.



Obteniendo los strings.

>strings zboot.dmp | grep -i https:// > salida.txt

(deje solo las que nos interesan)

@https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList
@https://www3.csebo.it/*
@https://qweb.quercia.com/*
@https://www.sparkasse.it/*
@https://dbonline.deutsche-bank.it/*
@https://*.cedacri.it/*
@https://www.bancagenerali.it/*
@https://www.csebo.it/*
@https://*.deutsche-bank.it/*
@https://hbclassic.bpergroup.net/*/login
@https://nowbankingpiccoleimprese*
@https://www.inbiz.intesasanpaolo.com/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/ContiCorrenti/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/ContiCorrenti/*
@https://*.unicreditcorporate.it/*
@https://*.sparkasse.it/*
@https://paschiinazienda.mps.it/Paschihome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://hb.mps.it/PaschiHome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://*.unicredit.it/*
@https://*.csebo.it/*
@https://areariservata.bancamarche.it/*
@https://rob.raiffeisen.it/*
@https://www.credem.it/*
@https://secure1.businesswaybnl.it/*
!https://*.ru/*
!https://server.iad.liveperson.net/*
!https://chatserver.comm100.com/*
!https://fx.sbisec.co.jp/*
!https://match2.me.dium.com/*
!https://clients4.google.com/*
!https://*.mcafee.com/*
!https://www.direktprint.de/*
!https://it.mcafee.com*
!https://telematici.agenziaentrate.gov.it*
!https://www.autobus.it*
!https://www.vodafone.it/*
!https://*.lphbs.com/*
@https://*.onlineaccess*AccountOverview.aspx
@https://www.mercantilcbonline.com/secure/banking/protected/gridcard/*



Gracias a @MalwareMustDie, @gN3med1s y @rfb_
Muestra:  https://www.dropbox.com/s/33xl4ka6rbf2r9p/Zbot-3-09-13.zip?m

Password = infected






Es todo por el momento....



@Dkavalanche 2013
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Troyano de Formulario II, Falso Comprobante de deposito. En el día de hoy, me acercaron un correo sospechoso, el cual  intentaba, median...
  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • ATARI ST Bootsector Virus
    Los primeros virus de boot sector aparecieron a mediados y fines de los 80 en lo que por aquel entonces eran las primeras computadoras que ...