lunes, 28 de octubre de 2013

PICEBOT - El regreso.


Vuelve a aparecer una nueva campaña con PiceBot, un malware que realiza pharming local con el fin de redirigir a las victimas a sitios de phishing. En este caso afecta a entidades bancarias de Chile y Perú.

Correo Phishing.


Icono del malware.



Análisis en V.T. con un indice muy bajo en detecciones.


Con Ollydbg cargamos la muestra del malware y ponemos los siguientes BP para poder llegar al troyano sin ofuscar (dump)

IsDebuggingPresent (.........la parcheamos)


WriteProcessMemory



Strings interesantes en el Dump.


00401C08   DD picebot.004028E0                       UNICODE "687474703A2F2F3139322E3231302E3230312E3132342F64622F" 
http://192.210.201.124/db/
00401C20   DD picebot.00402988                       UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
00401C2C   DD picebot.004029DC                       UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473" 
C:\WINDOWS\System32\drivers\etc\hosts

746F6D612E7068703F4F733D        toma.php?Os==
64622F75726C5F6465732E747874    db/url_des.txt
433A5C57494E444F57535C73797374656D33325C57696E7465722E657865 C:\WINDOWS\system32\Winter.exe
433A5C57494E444F57535C696578706C6F7265722E657865 C:\WINDOWS\iexplorer.exe



Accediendo a la configuración del pharming con malzilla
URL: http://192.210.201.124/db/toma.php?Os==





Panel de la Botnet



Muestra https://dl.dropboxusercontent.com/u/80008916/Picebot-28-10-13.rar

Password = infected.



Es todo por el momento.


@Dkavalanche 2013.






jueves, 17 de octubre de 2013


Ransom/Bocker o Qhost

En el día de ayer llego a mis manos esta muestra de malware que les traigo hoy (gracias a Raul que me la alcanzo). En Virus Total veo que los A.V. no se ponen de acuerdo en identificar a que familia pertenece, Ransom o Qhost... veamos de que se trata.

Correo falso que es enviado a las victimas reportado por @rfb_:


Se trata un SFX (self-extracting Zip) con un ejecutable en su interior setup.exe

SHA256:70c9df99b1613e08bdecf85531e1566a23e714205558c4a2cf4b2a5817deb32a
Nombre:e7c6f7390fdb2735558e49c63d5d0428
Detecciones:8 / 48


En una primera aproximación el A.V. de McAfee lo detecta como un Ransom (Wow!)


En V.T.  vemos que es detectado por mas A.V. con distintos resultados en la identificación.




SHA256:69505e6b4f2d5b97e7d361048c96222104592870d618e0a26955b22eebbacc67
Nombre:setup.exe
Detecciones:29 / 47
Fecha de análisis:2013-10-16 20:18:49 UTC ( hace 16 horas, 18 minutos )



IsDebuggerPresent



Strings Codificados:

00403CD8   MOV EDX,Control.00402C88                  UNICODE "/kqh"
00403D1B   PUSH Control.00402C7C                     UNICODE "/21"
00403F99   MOV DWORD PTR SS:[EBP-90],Control.00402C  UNICODE " ho"
00403FD6   MOV DWORD PTR SS:[EBP-80],Control.00402C  UNICODE "ry="
004040C5   MOV EDX,Control.00402D14                  UNICODE "Sfwjtbs"
004041AA   MOV EDX,Control.00402D38                  UNICODE "Error!!"
004042A4   MOV EDX,Control.00402D5C                  UNICODE "Control"
004044A9   MOV DWORD PTR SS:[EBP-78],Control.00402D  UNICODE "..J"
0040452C   MOV EDX,Control.00402D84                  UNICODE "G..?"
004046DB   PUSH Control.00402D38                     UNICODE "Error!!"
00404970   MOV EDX,Control.00402D9C                  UNICODE "BQQEBUB"
00404AD8   MOV EDX,Control.00402DF0                  UNICODE "Tfswjdjpt"
00404AF2   MOV EDX,Control.00402D9C                  UNICODE "BQQEBUB"
00404B2E   MOV EDX,Control.00402DF0                  UNICODE "Tfswjdjpt"
00404B4A   MOV EDX,Control.00402E10                  UNICODE "/fyf"
00404C31   MOV EDX,Control.00402E20                  UNICODE "vqebuf"
00404C4B   MOV EDX,Control.00402D9C                  UNICODE "BQQEBUB"
00404C8A   MOV EDX,Control.00402E20                  UNICODE "vqebuf"
00404CAA   MOV EDX,Control.00402E10                  UNICODE "/fyf"
00404D8F   MOV EDX,Control.00402E10                  UNICODE "/fyf"
00404E33   MOV EDX,Control.00402E10                  UNICODE "/fyf"
00404EC7   MOV EDX,Control.00402E10                  UNICODE "/fyf"
00405221   MOV DWORD PTR SS:[EBP-98],Control.00402E  UNICODE "..V"
004052E0   MOV DWORD PTR SS:[EBP-98],Control.00402E  UNICODE "..V"
00405328   MOV EDX,Control.00402ACC                  UNICODE "V..?"
00405742   MOV EDX,Control.00402CA8                  UNICODE "N["
004057AF   MOV EDX,Control.00402E48                  UNICODE "UFNQ"
00405879   MOV EDX,Control.00402E48                  UNICODE "UFNQ"
0040609F   MOV EDX,Control.00403110                  UNICODE "TztufnEsjwf"
00406281   MOV EDX,Control.0040312C                  UNICODE "Xtdsjqu/Tifmm"
004062EF   MOV EDX,Control.0040314C                  UNICODE "ILFZ`MPDBM`NBDIJOF]TPGUXBSF]NJDSPTPGU]XJOEPXT]DVSSFOUWFSTJPO]SVO]"
0040633D   PUSH Control.004031D0                     UNICODE "RegWrite"
00406500   PUSH EBP                                  (Initial CPU selection)
004068DB   MOV EDX,Control.004031E8                  UNICODE "iuuq;00hfpjquppm/dpn0ebub/qiq"
0040697B   MOV EDX,Control.00403228                  UNICODE "iuuq;00xxx/jnh/dbsbevsb/vt"
00406AF7   MOV EDX,Control.00402E10                  UNICODE "/fyf"
00406C11   MOV EDX,Control.00403264                  UNICODE "XJOEJS"
00406C52   MOV EDX,Control.00403278                  UNICODE "]tztufn43]esjwfst]fud]iptut"
00406DE3   MOV EDX,Control.00402D9C                  UNICODE "BQQEBUB"
00406E0A   MOV EDX,Control.004032B4                  UNICODE "]Ufnq/uyu"
00406E87   MOV EDX,Control.00402D9C                  UNICODE "BQQEBUB"
00406EAE   MOV EDX,Control.004032B4                  UNICODE "]Ufnq/uyu"

Rutina decodificadora de datos:
podemos poner un BP en el Inicio y al final de la rutina para ver como se cargan y se decodifican los datos.



00406500   $ 55             PUSH EBP
00406501   . 8BEC           MOV EBP,ESP
00406503   . 83EC 0C        SUB ESP,0C
00406506   . 68 06144000    PUSH  ;  SE handler installation
0040650B   . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00406511   . 50             PUSH EAX
00406512   . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00406519   . 83EC 74        SUB ESP,74
0040651C   . 53             PUSH EBX
0040651D   . 56             PUSH ESI
0040651E   . 57             PUSH EDI
0040651F   . 8965 F4        MOV DWORD PTR SS:[EBP-C],ESP
00406522   . C745 F8 301340>MOV DWORD PTR SS:[EBP-8],Control.0040133>
00406529   . 33C0           XOR EAX,EAX
0040652B   . 8945 E4        MOV DWORD PTR SS:[EBP-1C],EAX
0040652E   . 8945 E0        MOV DWORD PTR SS:[EBP-20],EAX
00406531   . 8945 DC        MOV DWORD PTR SS:[EBP-24],EAX
00406534   . 8945 D8        MOV DWORD PTR SS:[EBP-28],EAX
00406537   . 8945 C8        MOV DWORD PTR SS:[EBP-38],EAX
0040653A   . 8945 B8        MOV DWORD PTR SS:[EBP-48],EAX
0040653D   . 8945 A8        MOV DWORD PTR SS:[EBP-58],EAX
00406540   . 8945 98        MOV DWORD PTR SS:[EBP-68],EAX
00406543   . 8B45 08        MOV EAX,DWORD PTR SS:[EBP+8]
00406546   . 8B08           MOV ECX,DWORD PTR DS:[EAX]
00406548   . 51             PUSH ECX
00406549   . FF15 18104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaLenBs>;  MSVBVM60.__vbaLenBstr
0040654F   . 8B3D 70114000  MOV EDI,DWORD PTR DS:[<&MSVBVM60.__vbaSt>;  MSVBVM60.__vbaStrMove
00406555   . 8B1D 20104000  MOV EBX,DWORD PTR DS:[<&MSVBVM60.__vbaSt>;  MSVBVM60.__vbaStrVarMove
0040655B   . 8945 80        MOV DWORD PTR SS:[EBP-80],EAX
0040655E   . BE 01000000    MOV ESI,1
00406563   > 3B75 80        CMP ESI,DWORD PTR SS:[EBP-80]
00406566   . 0F8F AD000000  JG Control.00406619
0040656C   . 8B55 08        MOV EDX,DWORD PTR SS:[EBP+8]
0040656F   . 8D45 C8        LEA EAX,DWORD PTR SS:[EBP-38]
00406572   . 8955 A0        MOV DWORD PTR SS:[EBP-60],EDX
00406575   . 50             PUSH EAX
00406576   . 8D4D 98        LEA ECX,DWORD PTR SS:[EBP-68]
00406579   . 56             PUSH ESI
0040657A   . 8D55 B8        LEA EDX,DWORD PTR SS:[EBP-48]
0040657D   . 51             PUSH ECX
0040657E   . 52             PUSH EDX
0040657F   . C745 D0 010000>MOV DWORD PTR SS:[EBP-30],1
00406586   . C745 C8 020000>MOV DWORD PTR SS:[EBP-38],2
0040658D   . C745 98 084000>MOV DWORD PTR SS:[EBP-68],4008
00406594   . FF15 90104000  CALL DWORD PTR DS:[<&MSVBVM60.#632>]     ;  MSVBVM60.rtcMidCharVar
0040659A   . 8D45 B8        LEA EAX,DWORD PTR SS:[EBP-48]
0040659D   . 8D4D D8        LEA ECX,DWORD PTR SS:[EBP-28]
004065A0   . 50             PUSH EAX
004065A1   . 51             PUSH ECX
004065A2   . FF15 04114000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrVa>;  MSVBVM60.__vbaStrVarVal
004065A8   . 50             PUSH EAX
004065A9   . FF15 3C104000  CALL DWORD PTR DS:[<&MSVBVM60.#516>]     ;  MSVBVM60.rtcAnsiValueBstr
004065AF   . 66:2D 0100     SUB AX,1
004065B3   . 0F80 CA000000  JO Control.00406683
004065B9   . 0FBFD0         MOVSX EDX,AX
004065BC   . 8D45 A8        LEA EAX,DWORD PTR SS:[EBP-58]
004065BF   . 52             PUSH EDX
004065C0   . 50             PUSH EAX
004065C1   . FF15 F8104000  CALL DWORD PTR DS:[<&MSVBVM60.#608>]     ;  MSVBVM60.rtcVarBstrFromAnsi
004065C7   . 8D4D A8        LEA ECX,DWORD PTR SS:[EBP-58]
004065CA   . 51             PUSH ECX
004065CB   . FFD3           CALL EBX
004065CD   . 8BD0           MOV EDX,EAX
004065CF   . 8D4D DC        LEA ECX,DWORD PTR SS:[EBP-24]
004065D2   . FFD7           CALL EDI
004065D4   . 8D4D D8        LEA ECX,DWORD PTR SS:[EBP-28]
004065D7   . FF15 94114000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStr
004065DD   . 8D55 A8        LEA EDX,DWORD PTR SS:[EBP-58]
004065E0   . 8D45 B8        LEA EAX,DWORD PTR SS:[EBP-48]
004065E3   . 52             PUSH EDX
004065E4   . 8D4D C8        LEA ECX,DWORD PTR SS:[EBP-38]
004065E7   . 50             PUSH EAX
004065E8   . 51             PUSH ECX
004065E9   . 6A 03          PUSH 3
004065EB   . FF15 24104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVarList
004065F1   . 8B55 E4        MOV EDX,DWORD PTR SS:[EBP-1C]
004065F4   . 8B45 DC        MOV EAX,DWORD PTR SS:[EBP-24]
004065F7   . 83C4 10        ADD ESP,10
004065FA   . 52             PUSH EDX
004065FB   . 50             PUSH EAX
004065FC   . FF15 44104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCa>;  MSVBVM60.__vbaStrCat
00406602   . 8BD0           MOV EDX,EAX
00406604   . 8D4D E4        LEA ECX,DWORD PTR SS:[EBP-1C]
00406607   . FFD7           CALL EDI
00406609   . B8 01000000    MOV EAX,1
0040660E   . 03C6           ADD EAX,ESI
00406610   . 70 71          JO SHORT Control.00406683
00406612   . 8BF0           MOV ESI,EAX
00406614   .^E9 4AFFFFFF    JMP Control.00406563
00406619   > 8B55 E4        MOV EDX,DWORD PTR SS:[EBP-1C]
0040661C   . 8D4D E0        LEA ECX,DWORD PTR SS:[EBP-20]
0040661F   . FF15 40114000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCo>;  MSVBVM60.__vbaStrCopy
00406625   . 68 6D664000    PUSH Control.0040666D
0040662A   . EB 30          JMP SHORT Control.0040665C
0040662C   . F645 FC 04     TEST BYTE PTR SS:[EBP-4],4
00406630   . 74 09          JE SHORT Control.0040663B
00406632   . 8D4D E0        LEA ECX,DWORD PTR SS:[EBP-20]
00406635   . FF15 94114000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStr
0040663B   > 8D4D D8        LEA ECX,DWORD PTR SS:[EBP-28]
0040663E   . FF15 94114000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStr
00406644   . 8D4D A8        LEA ECX,DWORD PTR SS:[EBP-58]
00406647   . 8D55 B8        LEA EDX,DWORD PTR SS:[EBP-48]
0040664A   . 51             PUSH ECX
0040664B   . 8D45 C8        LEA EAX,DWORD PTR SS:[EBP-38]
0040664E   . 52             PUSH EDX
0040664F   . 50             PUSH EAX
00406650   . 6A 03          PUSH 3
00406652   . FF15 24104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVarList
00406658   . 83C4 10        ADD ESP,10
0040665B   . C3             RETN
0040665C   > 8B35 94114000  MOV ESI,DWORD PTR DS:[<&MSVBVM60.__vbaFr>;  MSVBVM60.__vbaFreeStr
00406662   . 8D4D E4        LEA ECX,DWORD PTR SS:[EBP-1C]
00406665   . FFD6           CALL ESI                                 ;  <&MSVBVM60.__vbaFreeStr>
00406667   . 8D4D DC        LEA ECX,DWORD PTR SS:[EBP-24]
0040666A   . FFD6           CALL ESI
0040666C   . C3             RETN
0040666D   . 8B4D EC        MOV ECX,DWORD PTR SS:[EBP-14]
00406670   . 8B45 E0        MOV EAX,DWORD PTR SS:[EBP-20]
00406673   . 5F             POP EDI
00406674   . 5E             POP ESI
00406675   . 64:890D 000000>MOV DWORD PTR FS:[0],ECX
0040667C   . 5B             POP EBX
0040667D   . 8BE5           MOV ESP,EBP
0040667F   . 5D             POP EBP
00406680   . C2 0400        RETN 4
00406683   > FF15 1C114000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaError>;  MSVBVM60.__vbaErrorOverflow
00406689   . 90             NOP
0040668A   . 90             NOP
0040668B   . 90             NOP
0040668C   . 90             NOP
0040668D   . 90             NOP
0040668E   . 90             NOP
0040668F   . 90             NOP

Por lo que podemos ver:



Modificación del archivo .host de la PC (se confirma el Qhost...)


Utilización de GeoIP para dirigir el ataque




Armado del string donde ira a buscar en el servidor c&c la configuración del pharming dirigido.


En caso de que el país no corresponde al pharmng dirigido, se hace un GET a una imagen común y corriente para que pase desapercibido ante miradas indiscretas.





muestra: https://dl.dropboxusercontent.com/u/80008916/Qhost%20-%2016-10-13.zip


password: infected



Eso es todo por el momento.


@Dkavalanche 2013



domingo, 6 de octubre de 2013

CyberGate: El ataque de los RAT

En esta oportunidad les traigo un caso de un falso documento que apela a la ingeniería social para tratar de infectar a las victimas con un RAT (remote administration tool). Con esta tool se obtiene un control total del equipo infectado, desde grabaciones de voz y video, captura de tecleo y de pantalla de la victima, entre otros.

Mi Amigo Raul me alcanzo esta muestra por lo que le estoy muy agradecido.

Correo Falso.



Link Falso http://urlquery.net/report.php?id=6273753

Certificado y Calificacion Tributaria certificaciones para fiscales del a±o 2013 21256977855558514488554884544 966464.exe 

Análisis en VT indice de detecciones 4/48  





https://www.virustotal.com/es-ar/file/ada89207c999fe66f7e480ea238132b3a5b075d9b351e9b8e889b5fcbdb2bf5c/analysis/1380807573/

Propiedades del ejecutable que se encuentra dentro de un ZIP,




Protección anti Debugging con IsDebuggerPresent


Al correrlo, me daba un error, faltaba una dll en el sistema y el Crypter fallaba... XD por lo que tuve que registrarla para continuar con el análisis estático en OllyDbg.



Dump de la muestra, con el clasico BP en WriteProcessMemory, aquí se puede observar que esta empaquetado con UPX.



Durante el análisis dinámico, el trafico de red revela la comunicación con el C&C

 Llaves del registro modificadas para asegurarse la permanencia en el sistema infectado,





Strings del dump sin UPX.



Análisis del dump en Virus Total



Strings interesantes


Parte del Keylogger

00C855CC   MOV EDX,DumpedXT.00C85D64                 UNICODE "[Numpad +]"
00C855DD   MOV EDX,DumpedXT.00C85D80                 UNICODE "[Backspace]"
00C855EE   MOV EDX,DumpedXT.00C85D9C                 UNICODE "[Numpad .]"
00C855FF   MOV EDX,DumpedXT.00C85DB8                 UNICODE "[Numpad /]"
00C85610   MOV EDX,DumpedXT.00C85DD4                 UNICODE "[Esc]"
00C85621   MOV EDX,DumpedXT.00C85DE4                 UNICODE "[Execute]"
00C85632   MOV EDX,DumpedXT.00C85DFC                 UNICODE "[Numpad *]"
00C856ED   MOV EDX,DumpedXT.00C85E68                 UNICODE "[Back Tab]"
00C856FE   MOV EDX,DumpedXT.00C85E84                 UNICODE "[Copy]"
00C8570F   MOV EDX,DumpedXT.00C85E98                 UNICODE "[Finish]"
00C85720   MOV EDX,DumpedXT.00C85EB0                 UNICODE "[Reset]"
00C85731   MOV EDX,DumpedXT.00C85EC4                 UNICODE "[Play]"
00C85742   MOV EDX,DumpedXT.00C85ED8                 UNICODE "[Process]"
00C85753   MOV EDX,DumpedXT.00C85EF0                 UNICODE "
"
00C85764   MOV EDX,DumpedXT.00C85EFC                 UNICODE "[Select]"
00C85775   MOV EDX,DumpedXT.00C85F14                 UNICODE "[Separator]"
00C85797   MOV EDX,DumpedXT.00C85F38                 UNICODE "[Numpad -]"
00C857A8   MOV EDX,DumpedXT.00C85F54                 UNICODE "[Tab]"
00C857B9   MOV EDX,DumpedXT.00C85F64                 UNICODE "[Zoom]"
00C857CA   MOV EDX,DumpedXT.00C85F78                 UNICODE "[Accept]"
00C857DB   MOV EDX,DumpedXT.00C85F90                 UNICODE "[Context Menu]"
00C857EC   MOV EDX,DumpedXT.00C85FB4                 UNICODE "[Caps Lock]"
00C857FD   MOV EDX,DumpedXT.00C85FD0                 UNICODE "[Delete]"
00C8580E   MOV EDX,DumpedXT.00C85FE8                 UNICODE "[Arrow Down]"
00C8581F   MOV EDX,DumpedXT.00C86008                 UNICODE "[End]"
00C85830   MOV EDX,DumpedXT.00C86018                 UNICODE "[F1]"
00C85841   MOV EDX,DumpedXT.00C86028                 UNICODE "[F10]"
00C85852   MOV EDX,DumpedXT.00C86038                 UNICODE "[F11]"
00C85863   MOV EDX,DumpedXT.00C86048                 UNICODE "[F12]"
00C85874   MOV EDX,DumpedXT.00C86058                 UNICODE "[F13]"
00C85885   MOV EDX,DumpedXT.00C86068                 UNICODE "[F14]"
00C85896   MOV EDX,DumpedXT.00C86078                 UNICODE "[F15]"
00C858A7   MOV EDX,DumpedXT.00C86088                 UNICODE "[F16]"
00C858B8   MOV EDX,DumpedXT.00C86098                 UNICODE "[F17]"
00C858C9   MOV EDX,DumpedXT.00C860A8                 UNICODE "[F18]"
00C858DA   MOV EDX,DumpedXT.00C860B8                 UNICODE "[F19]"
00C858EB   MOV EDX,DumpedXT.00C860C8                 UNICODE "[F2]"
00C858FC   MOV EDX,DumpedXT.00C860D8                 UNICODE "[F20]"
00C8590D   MOV EDX,DumpedXT.00C860E8                 UNICODE "[F21]"
00C8591E   MOV EDX,DumpedXT.00C860F8                 UNICODE "[F22]"
00C8592F   MOV EDX,DumpedXT.00C86108                 UNICODE "[F23]"
00C85940   MOV EDX,DumpedXT.00C86118                 UNICODE "[F24]"
00C85951   MOV EDX,DumpedXT.00C86128                 UNICODE "[F3]"
00C85962   MOV EDX,DumpedXT.00C86138                 UNICODE "[F4]"
00C85973   MOV EDX,DumpedXT.00C86148                 UNICODE "[F5]"
00C85984   MOV EDX,DumpedXT.00C86158                 UNICODE "[F6]"
00C85995   MOV EDX,DumpedXT.00C86168                 UNICODE "[F7]"
00C859A6   MOV EDX,DumpedXT.00C86178                 UNICODE "[F8]"
00C859B7   MOV EDX,DumpedXT.00C86188                 UNICODE "[F9]"
00C859C8   MOV EDX,DumpedXT.00C86198                 UNICODE "[Help]"
00C859D9   MOV EDX,DumpedXT.00C861AC                 UNICODE "[Home]"
00C859EA   MOV EDX,DumpedXT.00C861C0                 UNICODE "[Insert]"
00C859FB   MOV EDX,DumpedXT.00C861D8                 UNICODE "[Mail]"
00C85A0C   MOV EDX,DumpedXT.00C861EC                 UNICODE "[Media]"
00C85A1D   MOV EDX,DumpedXT.00C86200                 UNICODE "[Left Ctrl]"
00C85A2E   MOV EDX,DumpedXT.00C8621C                 UNICODE "[Arrow Left]"
00C85A3F   MOV EDX,DumpedXT.00C8623C                 UNICODE "[Left Alt]"
00C85A50   MOV EDX,DumpedXT.00C86258                 UNICODE "[Next Track]"
00C85A61   MOV EDX,DumpedXT.00C86278                 UNICODE "[Play / Pause]"
00C85A72   MOV EDX,DumpedXT.00C8629C                 UNICODE "[Previous Track]"
00C85A83   MOV EDX,DumpedXT.00C862C4                 UNICODE "[Stop]"
00C85A94   MOV EDX,DumpedXT.00C862D8                 UNICODE "[Mode Change]"
00C85AA5   MOV EDX,DumpedXT.00C862F8                 UNICODE "[Page Down]"
00C85AB6   MOV EDX,DumpedXT.00C86314                 UNICODE "[Num Lock]"
00C85AC7   MOV EDX,DumpedXT.00C86330                 UNICODE "[Pause]"
00C85AD8   MOV EDX,DumpedXT.00C86344                 UNICODE "[Print]"
00C85AE9   MOV EDX,DumpedXT.00C86358                 UNICODE "[Page Up]"
00C85AFA   MOV EDX,DumpedXT.00C86370                 UNICODE "[Right Ctrl]"
00C85B08   MOV EDX,DumpedXT.00C86390                 UNICODE "[Arrow Right]"
00C85B16   MOV EDX,DumpedXT.00C863B0                 UNICODE "[Right Alt]"
00C85B24   MOV EDX,DumpedXT.00C863CC                 UNICODE "[Scrol Lock]"
00C85B32   MOV EDX,DumpedXT.00C863EC                 UNICODE "[Sleep]"
00C85B40   MOV EDX,DumpedXT.00C86400                 UNICODE "[Print Screen]"
00C85B4E   MOV EDX,DumpedXT.00C86424                 UNICODE "[Arrow Up]"
00C85B5C   MOV EDX,DumpedXT.00C86440                 UNICODE "[Volume Down]"
00C85B6A   MOV EDX,DumpedXT.00C86460                 UNICODE "[Volume Mute]"
00C85B78   MOV EDX,DumpedXT.00C86480                 UNICODE "[Volume Up]"
00C85BA8   MOV EAX,DumpedXT.00C864A4                 UNICODE "Numpad"
00C85BBA   MOV EDX,DumpedXT.00C864B8                 UNICODE "KeyDelBackspace"



Archivo de configuración (.svr) y archivo del keylogger (.dat) que se envían al C&C, ambos se encuentran codificados.

00C88393   MOV EDX,DumpedXT.00C88638                 UNICODE ".svr"
00C883CA   MOV EDX,DumpedXT.00C88644                 UNICODE ".dat"


00C8848D   PUSH DumpedXT.00C88654                    UNICODE "http://"
00C884D9   PUSH DumpedXT.00C88678                    UNICODE ".functions"
00C885A4   PUSH DumpedXT.00C88698                    UNICODE "open" 



00C887F8   DD DumpedXT.00C88704                      UNICODE "%ITSELF%"
00C88800   DD DumpedXT.00C886E4                      UNICODE "%USECRYPTER%"
00C88808   DD DumpedXT.00C886BC                      UNICODE "%DEFAULTBROWSER%"
00C88810   DD DumpedXT.00C886A8                      UNICODE "restart"
00C88814   PUSH EBP                                  (Initial CPU selection)
00C88894   PUSH DumpedXT.00C89794                    UNICODE "open"
00C888A7   PUSH DumpedXT.00C897A0                    UNICODE "CYBERGATEUPDATE"
00C88901   MOV ECX,DumpedXT.00C897C0                 UNICODE "SETTINGSPASS"
00C88915   PUSH DumpedXT.00C897DC                    UNICODE "SOFTWARE\CyberGate"
00C88929   MOV EDX,DumpedXT.00C89804                 UNICODE "\Microsoft\Windows\"
00C8896A   MOV EDX,DumpedXT.00C89830                 UNICODE ".nfo"
00C88999   MOV EDX,DumpedXT.00C89830                 UNICODE ".nfo"
00C889E0   MOV ECX,DumpedXT.00C8983C                 UNICODE "CYBERGATEPASS"
00C88A64   MOV ECX,DumpedXT.00C8983C                 UNICODE "CYBERGATEPASS"
00C88AAC   MOV ECX,DumpedXT.00C8983C                 UNICODE "CYBERGATEPASS"
00C88BD7   MOV EAX,DumpedXT.00C89858                 UNICODE "SOFTWARE\"
00C88BE3   MOV ECX,DumpedXT.00C8986C                 UNICODE "ServerStarted"
00C88DE1   MOV EAX,DumpedXT.00C89858                 UNICODE "SOFTWARE\"
00C88DED   MOV ECX,DumpedXT.00C8988C                 UNICODE "InstalledServer"
00C88E6A   MOV EDX,DumpedXT.00C898AC                 UNICODE ".svr"
00C88EE3   MOV EAX,DumpedXT.00C898B8                 UNICODE "svchost.exe"
00C8912A   MOV EAX,DumpedXT.00C898D0                 UNICODE "explorer.exe"
00C89169   MOV EDX,DumpedXT.00C898AC                 UNICODE ".svr"
00C891C2   MOV EAX,DumpedXT.00C898EC                 UNICODE "local"
00C891D4   MOV ECX,DumpedXT.00C898F8                 UNICODE "CYBERGATE"
00C89217   MOV EDX,DumpedXT.00C89910                 UNICODE "SOFTWARE\"
00C8922E   MOV ECX,DumpedXT.00C89924                 UNICODE "Mutex"
00C892DF   MOV EAX,DumpedXT.00C898EC                 UNICODE "local"
00C89318   MOV ECX,DumpedXT.00C898F8                 UNICODE "CYBERGATE"
00C8935B   MOV EDX,DumpedXT.00C89910                 UNICODE "SOFTWARE\"
00C89372   MOV ECX,DumpedXT.00C89924                 UNICODE "Mutex"
00C893D9   MOV EDX,DumpedXT.00C89938                 ASCII "lsass.exe"

00C894AF   MOV EDX,DumpedXT.00C8994C                 ASCII "svchost.exe"


Muestra: https://dl.dropboxusercontent.com/u/80008916/Cybergate-03-10-13.rar

Password = infected



Es todo por el momento.

@Dkavalanche 2013



#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...