jueves, 27 de septiembre de 2012

Troyano tipo Form,  Falso Pedido de presupuesto.

En el día de ayer me reportaron el siguiente troyano que afecta a varias entidades de Argentina y Bolivia, en otra oportunidad ya fue analizado, pero esta vez utilizaron otro tipo de ardid para el engaño.
Este tipo de troyano esta programado en Delphi, y contiene falsos formularios que simulan el look & feel de la entidad bancaria, esto es para tratar de ser lo mayor convincente posible y solicitar todos los datos necesarios para realizar una estafa.


 Falso correo:


Los links están asociados a servicios de dirección, para ocultar el archivo malicioso, en este caso se trata de un .ZIP que contiene un ejecutable.

hxxps://secure.gravatar.com/avatar/6eaf26f8cc3f894ecfa99d990605671c?d=hxxp://www.olympusaquae.it/Pedido_presupuesto_DOC__.zip

hxxp://gsf.rcs.it/content/page.html?id_gsf=592737&link=http://ls400data.com/Pedido_presupuesto_DOC__.zip

hxxp://www.bizrate.com/rd2?t=http://47th.dk/Pedido_presupuesto_DOC__.zip




Icono, del ejecutable que contiene el ZIP, se encuentra compactado con UPX.




Análisis en V.T: con un indice bajo de detecciones.


Revisando el código de este ejecutable, se puede observar que descarga otra amenaza desde los siguientes sitios:



Descargamos la amenaza con malzilla y la analizamos en VT.


 Icono de la amenaza, la cual esta compactada con UPX y también programada en Delphi.



Decompilado el ejecutable se puede observar los posibles nombres que tomara el ejecutable en el sistema, atado a la key de auto run en el registro.









Alguno de los falsos formularios desplegados por la amenaza.









Se observan cadenas en hexadecimal, estas al pasarlas a ascii, solo nos muestran caracteres extraños, esto indica que están codificados por alguna rutina...





080C07100803017DFF1D141E0F6CEF62CA46C724405CD040  

Pasado a ascii queda     > y�¿t�FÿA/Ü Ád�¸?�Ìx�_




 Pero utilizando la rutina de des ofuscación que se observa aquí.


3E177999BF749F46FF412FDC16161FC16498B83F8CCC78975F

decodifica como

 Tarjeta de Coordenadas



Mas datos codificados:


3EEF2ACA7EFE6FDD10A75130F74DFD2DDA1A03489B24DE0427D67AE90D3D4CF2182A79A548FF6094DD6F
FD2FED36E358C6B66FF215C566EB1C053FED27AE3946EE2D083BE856FD1A5B8CF50A4B86B67CBF67F302538CB5749C4E83AB9FF228C363B16483A6
6687B57EABA39381BD15C2BF64F326C0608BA8F7479288A059FF35DC4F86D80025DA678EB179E91EA739
F828D213C6473725D971A69BA92BDB0824CB78F84A9F44EB0E79A75CC877C46880B105729E43E50356E87FA648FE2EC96C94FC0F0A73F742E51521CE0058A739E817
98888588466645546352313232145375879343584


Decodifican como:


http://www.sunXXXXXXXXX.dk/pdf/jab.php
http://schuXXXXXXXXXX.at/vs.haag.hausruck/projekte/3sds.php
http://www.poXXXXXXXX.nl/flash/trujilapz.php
http://www.barXXXXXXXtman.hu/images/_whatsup_black%2520jat__uy.php

Son los php que utiliza para consolidar y enviar los datos robados.

(XXXX agregadas por seguridad...)




Muestra en : http://www.mediafire.com/?iy3pbemasa50cvi


Passw = infected



Es todo por el momento.



@Dkavalanche  2012







martes, 18 de septiembre de 2012

Troyano DorkBot - Falsa Postal tarjetasbubba.com


Hoy les traigo, para variar, un troyano Dorkbot. Esta muestra me la envió un buen amigo que no quiere que me aburra............

Aquí el engañoso correo a la espera de que algún desprevenido lo descargue y ejecute...



Icono del Malware.

         

Análisis en V.T., con un indice bajo de detecciones, el malware esta utilizando un VBCrypter para ofuscar el código.



Con OllyDbg se quita la capa de ofuscación y podemos observar que se trata de DorkBot.





En el análisis dinámico del bot, se puede observar la conexión al servidor IRC a la espera de instrucciones, en este caso, el bot-master pide hacer un UPDATE del bot.



Descarga del nuevo malware.

Icono.

Comparamos las dos muestras con un diff y se puede observar algunas leves diferencias, seguramente se esta utilizando el mismo VBCrypter para ofuscar el código.




Análisis de la nueva muestra en VT, con un indice muy bajo.




Hasta el momento no se puede observar ataques de pharming local a entidades Bancarias.


Les dejo las dos muestras + dumps (sin crypter) 

 http://www.mediafire.com/?ab8twm8ajw8krmw

Password = infected


Eso es todo por el momento.


@DkAvalanche      2012



A HORAS DE LA @EKOPARTY!!!!! FUCK YEAH!


lunes, 17 de septiembre de 2012

Troyano Qhost - Falso mensaje Multimedia MOVISTAR.PE


 Aquí les traigo otro típico engaño a la pesca de desprevenidos.


Este troyano descarga la configuración, para el pharming local, desde un servidor en la nube, luego la copia dentro del archivo .host de la PC, una vez realizado esto cuando la victima visite el sitio web de su banco sera reenviado a un sitio falso. Afecta a entidades bancarias del Perú.



Link del malware: hxxp://mensajesenlinea.in/Mensaje-Multimedia-movistar.exe

Icono del falso mensaje multimedia.



Análisis en virus total con un indice bajo de detecciones.






Esta amenaza esta programada en Visual Basic y no tienen ninguna capa de Crypter, solo tiene un sencillo método para esconder las cadenas de caracteres.

Utiliza la función CHR$(xx) para pasar el código ascii a carácter


Aquí parte del código:


Configuración del troyano:

  loc_00403C62: var_68 = Chr$(%StkVar1) & Chr$(116) & Chr$(116) & Chr$(112) & Chr$(58) & Chr$(47) & Chr$(47) & Chr$(119) & Chr$(119) & Chr$(119) & Chr$(46)
  loc_00403E08: var_C0 = var_68 & Chr$(99) & Chr$(104) & Chr$(97) & Chr$(112) & Chr$(105) & Chr$(116) & Chr$(97) & Chr$(46) & Chr$(105) & Chr$(110) & Chr$(102)
  loc_00403F98: var_110 = var_C0 & Chr$(111) & Chr$(47) & Chr$(105) & Chr$(109) & Chr$(112) & Chr$(111) & Chr$(114) & Chr$(116) & Chr$(101) & Chr$(115)
  loc_00404128: var_160 = var_110 & Chr$(47) & Chr$(115) & Chr$(101) & Chr$(114) & Chr$(118) & Chr$(101) & Chr$(114) & Chr$(46) & Chr$(112) & Chr$(104)
  loc_00404150: var_168 = var_160 & Chr$(112)   



 116 116 112 58 47 47 119 119 119 46 
 99 104 97 112 105 116 97 46 105 110 102 
 111 47 105 109 112 111 114 116 101 115 
 47 115 101 114 118 101 114 46 112 104 
 112    


queda como -> http://www.chapita.info/importes/server.php

Pueden utilizar esta excelente web para verificarlo: http://home.paulschou.net/tools/xlate/






.



Nombre en el sistema del troyano :

  loc_00404A9A: var_A0 = Chr$(67) & Chr$(58) & Chr$(92) & Chr$(87) & Chr$(73) & Chr$(78) & Chr$(68) & Chr$(79) & Chr$(87) & Chr$(83) & Chr$(92) & Chr$(115)
  loc_00404C52: var_F8 = var_A0 & Chr$(121) & Chr$(115) & Chr$(116) & Chr$(101) & Chr$(109) & Chr$(51) & Chr$(50) & Chr$(92) & Chr$(84) & Chr$(101) & Chr$(108)
  loc_00404DE2: var_148 = var_F8 & Chr$(101) & Chr$(102) & Chr$(101) & Chr$(114) & Chr$(105) & Chr$(99) & Chr$(111) & Chr$(46) & Chr$(101) & Chr$(120)
  loc_00404E13: FileCopy var_44, var_148 & Chr$(101)

 -> C:\WINDOWS\system32\Teleferico.exe



También encontramos la carga de la siguiente web, seguramente para despistar.

Openhttps://www.telefonicamovistar.com.pe/CanalOnLine/LoginPersona.aspx?GuId=ad36e19c-5992-452c-bfae-567c3edc7c0d-a57939488




Cargando la URL de la configuración en Malzilla podemos observar el pharming local.






Muestra + código Basic/Assembler en http://www.mediafire.com/?kggx9q2nv3uayrn

password = infected



Es todo por el momento.


@Dkavalanche     2012


PD: Ya falta poco para la @ekoparty, reencuentro con amigos :D



domingo, 16 de septiembre de 2012

Qhost - Falso correo Amor En Linea.

Este troyano esta afectando a entidades bancarias de Chile, utiliza la ingenieria social para infectar a los desprevenidos.

Aqui el correo falso.




Link falso:  http://93.104.215.135/~variadas/AmorEnLinea.html

Troyano alojado en: http://176.9.118.68/~chilecom/amor_en_linea/mensaje_de_amor/amor.exe




El link nos redirige a una web que nos hace creer que nos esta descargando un mensaje, que en realidad se trata de un ejecutable.





EL análisis en VirusTotal, nos indica un bajo indice de detecciones 1/42.




Este troyano esta ofuscado con un Crypter, el deofuscado lo realizamos Ollydbg y obtenemos el dump original, el cual se trata de un ejecutable compilado en Visual Basic. (lo pueden observar en la muestra que les dejo)

Pasando este ejecutable de VBasic por un decompilador, podemos obtener el código fuente en assembler y revisar su comportamiento.


Las siguiente son cadenas que podemos encontrar en Hexadecimal, que pasadas a ascii podemos observar de que se tratan.


Aquí el sitio web donde se aloja el pharming:


00402828h ; "67726F6E652E69676E6F72656C6973742E636F6D" - grone.ignorelist.com


Entidades bancarias de Chile afectadas:


00402880h ; "7777772E62616E636F65737461646F2E636C" - www.bancoestado.cl
004028D0h ; "62616E636F65737461646F2E636C" - bancoestado.cl
00402910h ; "7777772E626276612E636C" - www.bbva.cl
00402944h ; "626276612E636C" - bbva.cl
00402968h ; "7777772E62616E636F66616C6162656C6C612E636C" - www.bancofalabella.cl
00402A08h ; "62616E636F66616C6162656C6C612E636C" - bancofalabella.cl
00402A54h ; "7777772E6263692E636C" - www.bci.cl
00402A84h ; "6263692E636C" - bci.cl


Archivo host que sera modificado:

 "5C73797374656D33325C647269766572735C6574635C686F737473" -\system32\drivers\etc\hosts


Llave del registro del auto run.


 "536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E"
Software\Microsoft\Windows\CurrentVersion\Run



  loc_00404180: mov var_A0, 00402AA4h ; "57696E6C6F676F6E" - Winlogon
  loc_0040423B: mov var_C0, 00402AF0h ; "7363737372722E657865" - scssrr.exe
  





Realizando un ping al sitio del pharming nos revela su IP, la que sera utilizada en el archivo .host



Así es como quedara conformado el archivo .host




muestra + dump + VB code ->  http://www.mediafire.com/?sffqqfzwblpcngl

pass = infected




Es todo por el momento.


@Dkavalanche 2012









lunes, 10 de septiembre de 2012

Hoy 2 x 1 - Qhost y Dorkbot.

Hoy Lunes, comienzo de semana laboral, les traigo dos amenazas que encabezan el ranking de infecciones en Latam. Un simple troyano Qhost y el archi conocido malévolo... Dorkbot.


Empezamos con Qhost  - con el ya conocido falso mensaje de "nuestra amiga del Face" Andrea Rosales.



Icono de la amenaza



Análisis en VT con un indice bajo de detecciones, se trata de un programa programado en VBasic 6 y codificado con un Crypter.





Icono del programa dump, sin la parte del ofuscado con el Crypter




Strings encontrados en Hexadecimal, que pasados a Ascii nos dan una idea de que se trata:

 loc_403145: LitVarStr var_94, "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473"
  C:\WINDOWS\System32\drivers\etc\hosts (archivo que sera modificado para realizar el pharming local)


  loc_403A35: LitVarStr var_154, "433A5C57494E444F57535C73797374656D5C77696E63616C2E657865"
  C:\WINDOWS\system\wincal.exe  (nombre que tendrá la amenaza en el sistema)

  loc_403AB2: LitVarStr var_114, "6C6F61643D433A5C57494E444F57535C73797374656D5C77696E63616C2E657865"
  load=C:\WINDOWS\system\wincal.exe
  


Configuración del pharming:

687474703A2F2F7777772E6761627269656C732D70697A7A657269612D77696573626164656E2E64652F706C7567696E732F656469746F72732F496D6167656E65732F67616C6C6572792F68747470646163657373

http://www.gabriels-pizzeria-wiesbaden.de/plugins/editors/Imagenes/gallery/httpdacess



Sitio web vulnerado para alojar la configuración del pharming




Seguimos con DorkBot - Continua la campaña con la falsa postal de Sonico.




 Icono de la Amenaza. 
Se trata de ejecutable con una capa de Crypter en Vbasic para ofuscar un troyano Dorkbot.



Análisis en VT con un indice bajo de detecciones, estas detecciones solo informan del Crypter y no detectan a Dorkbot.



Quitada la capa de ofuscación se puede observar que se trata de DorkBot (ngrBot)




Todas las muestras del 2x1 + dumps en: http://www.mediafire.com/?axx6776wj195uw2
Pass = infected


Eso es todo por el momento.



@Dkavalanche 2012







miércoles, 5 de septiembre de 2012

QhostUn admirador(a) te ha enviado una postal de Amor

Hoy inauguro la entrada 41 de este Blog, con un troyano Qhost, el cual su fin es realizar Pharming local a la Pc infectada, afectando a varias entidades Bancarias.

El siguiente es el correo phishing enviado a los desprevenidos.




Icono de la amenaza.



El Análisis en Virus Total, nos trae un bajo indice de detecciones, esto se debe a que
el codigo malicioso esta ofuscado por un Crypter en VBasic.






Aplicando un simple BP VirtualProcessMemory en el Ollydbg y dumpenado el buffer, es posible obtener la muestra del binario original sin ofuscar. Este ejecutable, esta programado en VBasic 6, utiliza strings codificados en hexadecimal, que son facilmente pasados a ascii.


Entrada del Registro:

var_B4 = "484B45595F4C4F43414C5F4D414348494E455C534F4654574152455C"
HKEY_LOCAL_MACHINE\SOFTWARE\


Llave de autorun:

"4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E5C"
Microsoft\Windows\CurrentVersion\Run\



Servidores del Pharming:

"706537303635373237352E6E7330312E62697A" -> pe70657275.ns01.biz
"696E74657237303031323566696E616E2E646E73312E7573" -> inter700125finan.dns1.us
"626E3645363136333639364636452E6E7330322E62697A" -> bn6E6163696F6E.ns02.biz
"6276766136323632373636312E6E7330322E62697A" -> bvva62627661.ns02.biz
"6563756136453633363836312E6E73312E6E616D65" -> ecua6E636861.ns1.name

Realizando in Ping a estos servidores podemos observar la IP a la cual responden, esta IP sera utilizada en el archivo .host para el pharming local (ver mas abajo).






Nombre en el sistema:

var_D4 = "73657276696365732E657865" -> services.exe


Nombres de los sitios Web de las entidades Bancarias afectadas.

var_B4 = "7777772E7669616263702E636F6D" -> www.viabcp.com
loc_00403CE5: var_B4 = "6263707A6F6E617365677572612E7669616263702E636F6D" -> bcpzonasegura.viabcp.com
loc_00403D93: var_B4 = "696E74657262616E6B2E636F6D2E7065" -> interbank.com.pe
loc_00403E44: var_B4 = "7777772E696E74657262616E6B2E636F6D2E7065" -> www.interbank.com.pe
loc_00403EF5: var_B4 = "6E6574696E74657262616E6B2E636F6D2E7065" -> netinterbank.com.pe
loc_00404057: var_B4 = "7777772E626E2E636F6D2E7065" -> www.bn.com.pe
loc_00404108: var_B4 = "7A6F6E61736567757261312E626E2E636F6D2E7065" -> zonasegura1.bn.com.pe
loc_004041B9: var_B4 = "6262766162616E636F636F6E74696E656E74616C2E636F6D" -> bbvabancocontinental.com
loc_0040426A: var_B4 = "7777772E6262766162616E636F636F6E74696E656E74616C2E636F6D" -> www.bbvabancocontinental.com
loc_0040431B: var_B4 = "70696368696E6368612E636F6D" -> pichincha.com
loc_004043CC: var_B4 = "7777772E70696368696E6368612E636F6D" -> www.pichincha.com






Archivo .host modificado por el malware:






Muestra Original + Dump + Vbasic : http://www.mediafire.com/?lw7go1xuju86gem

Pass = infected.



Es todo por el momento.


@Dkavalanche 2012

martes, 4 de septiembre de 2012

Qhost - Falso Mensaje Privado de Facebook - Rutina Rijndael

Les traigo el siguiente troyano que utiliza Rijndeal para la codificación de datos (ver caso).
En este momento esta realizando Local Pharming a entidades Bancarias del Perú

Falso Email:



Icono de la Amenaza.


Análisis en V.T., con un indice muy bajo de detecciones.





Analizando el troyano encuentro que utiliza el mismo método de ofuscación de strings.
ver caso: http://oberheimdmx.blogspot.com.ar/2012/03/qhost-iv-falso-video-de-facebook.html

Datos codificados:

  loc_402480: ldstr "Ft8CZnVefFiLkH63uHL3mBB4vs+1MqAJFaYYY3O2+xI="

  loc_402488: ldstr "6A7XaALGTyZg/jU3WXJSE7aQ4bsmjYwyVvvzPI4Wy6q6t5IhiPq7ZiDUcgPcqUAM"

  loc_402490: ldstr "Ft8CZnVefFiLkH63uHL3mE2QM7qO0gwH487u2zHb7rH/ctFXg7G4kTmbil9StkgM"

  loc_402498: ldstr "Ft8CZnVefFiLkH63uHL3mMfv4L2QhCDHyUgFyFbABSw="

  loc_4024A0: ldstr "LNDRQHqUqBQZke9qnfqj7SLJG6XvMLS1J2Uu7Wsm+dFkSe9Hz552tY81UhnjMc4v"

  loc_4024A8: ldstr "6A7XaALGTyZg/jU3WXJSE7aQ4bsmjYwyVvvzPI4Wy6oIE7HCNCdGoq/gSiKKNZ9B"

  loc_4024BE: ldstr "tUF0d5UwHTQJWHPC037GjZcxI+60eZA+/iK9UhE7WKO3untwL9hHMZ9msD/ix0CV"

  loc_4024C6: ldstr "tUF0d5UwHTQJWHPC037GjZcxI+60eZA+/iK9UhE7WKO3untwL9hHMZ9msD/ix0CV"

  loc_4024CE: ldstr "tUF0d5UwHTQJWHPC037GjZcxI+60eZA+/iK9UhE7WKO3untwL9hHMZ9msD/ix0CV"

  loc_4024D6: ldstr "gu/hLx2k37LbJFrYE4FJWc68NdUBB26vgdPt2/bB3032LlEXXgyHBiP/BLzjkBy+"

  loc_4024F4: ldstr "CPNd1iLAC8rnx8dwxJTDQv8Yyj2ib7DH5N6+E7xY53dX/7+XIa8VQv6KHgFsErZI04kEOz5bajuG3uQz1nU6Pg=="

  loc_4024FC: ldstr "c4DAub0e1G54ZOZjPGWbgg=="

  loc_402504: ldstr "6ySHYvET4UiEuXSXfOPFpIKrhCJ2aR0mblI2wSdQssI="

  loc_40250C: ldstr "vl5QwlkWx0Ht7RmnWUWlvx3C6XO0SqB6odDAGIXQ73Q="

  loc_402522: ldstr "RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1"

  loc_40252A: ldstr "3KV9m+7X1WQ93O4l5UZ4c+8sx2bwLP+7WIDBoayseAw="


Parte de la rutina de Crypografia Rijndael

Object: Defenza.cryptografia
indigena

  Code: FatFormat
  Start: 402AFC
  Size: 227
  Flag: MoreSects InitLocals
  Max Stack: 5
  Local Variables: 11000008

  loc_402AFC: nop
  loc_402AFD: ldstr "Pas5pr@se"
  loc_402B02: stloc.0
  loc_402B03: ldstr "s@1tValue"
  loc_402B08: stloc.1
  loc_402B09: ldstr "SHA1"
  loc_402B0E: stloc.2
  loc_402B0F: ldc.i4.2
  loc_402B10: stloc.3
  loc_402B11: ldstr "@1B2c3D4e5F6g7H8"
  loc_402B16: stloc.s 4
  loc_402B18: ldc.i4 256
  loc_402B1D: stloc.s 5
  loc_402B1F: ldnull
  loc_402B20: stloc.s 6
  loc_402B22: nop
  loc_402B23: call get_ASCII
  loc_402B28: ldloc.s 4
  loc_402B2A: callvirt GetBytes
  loc_402B2F: stloc.s 7
  loc_402B31: call get_ASCII



Desencriptado



Plaintext : Ft8CZnVefFiLkH63uHL3mBB4vs+1MqAJFaYYY3O2+xI=
Decrypted : C:\\Mis Documentos


Plaintext : 6A7XaALGTyZg/jU3WXJSE7aQ4bsmjYwyVvvzPI4Wy6q6t5IhiPq7ZiDUcgPcqUAM
Decrypted : C:\\Windows\\System32\\drivers\\etc\\hosts

Plaintext : Ft8CZnVefFiLkH63uHL3mE2QM7qO0gwH487u2zHb7rH/ctFXg7G4kTmbil9StkgM
Decrypted : C:\\Mis Documentos\\Documento1.docx

Plaintext : Ft8CZnVefFiLkH63uHL3mMfv4L2QhCDHyUgFyFbABSw=
Decrypted : C:\\Mis Documentos\\calc1.xlsx

Plaintext : LNDRQHqUqBQZke9qnfqj7SLJG6XvMLS1J2Uu7Wsm+dFkSe9Hz552tY81UhnjMc4v
Decrypted : C:\Windows\System32\drivers\csrss.exe


Plaintext : 6A7XaALGTyZg/jU3WXJSE7aQ4bsmjYwyVvvzPI4Wy6oIE7HCNCdGoq/gSiKKNZ9B
Decrypted : C:\\Windows\\System32\\drivers\\


Plaintext : tUF0d5UwHTQJWHPC037GjZcxI+60eZA+/iK9UhE7WKO3untwL9hHMZ9msD/ix0CV
Decrypted : http://www.unisportonline.co.uk/robots.txt


Plaintext : tUF0d5UwHTQJWHPC037GjZcxI+60eZA+/iK9UhE7WKO3untwL9hHMZ9msD/ix0CV
Decrypted : http://www.unisportonline.co.uk/robots.txt


Plaintext : tUF0d5UwHTQJWHPC037GjZcxI+60eZA+/iK9UhE7WKO3untwL9hHMZ9msD/ix0CV
Decrypted : http://www.unisportonline.co.uk/robots.txt


Plaintext : gu/hLx2k37LbJFrYE4FJWc68NdUBB26vgdPt2/bB3032LlEXXgyHBiP/BLzjkBy+
Decrypted : http://www.getsignbase.com/app/readme.txt


Plaintext : CPNd1iLAC8rnx8dwxJTDQv8Yyj2ib7DH5N6+E7xY53dX/7+XIa8VQv6KHgFsErZI04kEOz5bajuG3uQz1nU6Pg==
Decrypted : Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

Plaintext : c4DAub0e1G54ZOZjPGWbgg==
Decrypted : EnableLUA

Plaintext : 6ySHYvET4UiEuXSXfOPFpIKrhCJ2aR0mblI2wSdQssI=
Decrypted : ConsentPromptBehaviorAdmin

Plaintext : vl5QwlkWx0Ht7RmnWUWlvx3C6XO0SqB6odDAGIXQ73Q=
Decrypted : PromptOnSecureDesktop

Plaintext : RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1
Decrypted : SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Plaintext : 3KV9m+7X1WQ93O4l5UZ4c+8sx2bwLP+7WIDBoayseAw=
Decrypted : Windows defender


Pharming Local  http://www.unisportonline.co.uk/robots.txt




muestra : http://www.mediafire.com/?wd6kfkua544d6o9

Pass = infected


PD: Para los que me solocitaron el fuente del desencriptor, les dejo el código mas abajo, este código no es mio, para mas datos pueden visitar la web del autor http://www.obviex.com/Resources/Articles.aspx .

///////////////////////////////////////////////////////////////////////////////
// SAMPLE: Symmetric key encryption and decryption using Rijndael algorithm.
//
// To run this sample, create a new Visual C# project using the Console
// Application template and replace the contents of the Class1.cs file with
// the code below.
//
// THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND,
// EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED
// WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
//
// Copyright (C) 2002 Obviex(TM). All rights reserved.
//
using System;
using System.IO;
using System.Text;
using System.Security.Cryptography;

///



/// This class uses a symmetric key algorithm (Rijndael/AES) to encrypt and
/// decrypt data. As long as encryption and decryption routines use the same
/// parameters to generate the keys, the keys are guaranteed to be the same.
/// The class uses static functions with duplicate code to make it easier to
/// demonstrate encryption and decryption logic. In a real-life application,
/// this may not be the most efficient way of handling encryption, so - as
/// soon as you feel comfortable with it - you may want to redesign this class.
///
public class RijndaelSimple
{
    ///



    /// Encrypts specified plaintext using Rijndael symmetric key algorithm
    /// and returns a base64-encoded result.
    ///
    ///

    /// Plaintext value to be encrypted.
    ///
    ///

    /// Passphrase from which a pseudo-random password will be derived. The
    /// derived password will be used to generate the encryption key.
    /// Passphrase can be any string. In this example we assume that this
    /// passphrase is an ASCII string.
    ///
    ///

    /// Salt value used along with passphrase to generate password. Salt can
    /// be any string. In this example we assume that salt is an ASCII string.
    ///
    ///

    /// Hash algorithm used to generate password. Allowed values are: "MD5" and
    /// "SHA1". SHA1 hashes are a bit slower, but more secure than MD5 hashes.
    ///
    ///

    /// Number of iterations used to generate password. One or two iterations
    /// should be enough.
    ///
    ///

    /// Initialization vector (or IV). This value is required to encrypt the
    /// first block of plaintext data. For RijndaelManaged class IV must be
    /// exactly 16 ASCII characters long.
    ///
    ///

    /// Size of encryption key in bits. Allowed values are: 128, 192, and 256.
    /// Longer keys are more secure than shorter keys.
    ///
    ///
    /// Encrypted value formatted as a base64-encoded string.
    ///
    public static string Encrypt(string   plainText,
                                 string   passPhrase,
                                 string   saltValue,
                                 string   hashAlgorithm,
                                 int      passwordIterations,
                                 string   initVector,
                                 int      keySize)
    {
        // Convert strings into byte arrays.
        // Let us assume that strings only contain ASCII codes.
        // If strings include Unicode characters, use Unicode, UTF7, or UTF8
        // encoding.
        byte[] initVectorBytes = Encoding.ASCII.GetBytes(initVector);
        byte[] saltValueBytes  = Encoding.ASCII.GetBytes(saltValue);
       
        // Convert our plaintext into a byte array.
        // Let us assume that plaintext contains UTF8-encoded characters.
        byte[] plainTextBytes  = Encoding.UTF8.GetBytes(plainText);
       
        // First, we must create a password, from which the key will be derived.
        // This password will be generated from the specified passphrase and
        // salt value. The password will be created using the specified hash
        // algorithm. Password creation can be done in several iterations.
        PasswordDeriveBytes password = new PasswordDeriveBytes(
                                                        passPhrase,
                                                        saltValueBytes,
                                                        hashAlgorithm,
                                                        passwordIterations);
       
        // Use the password to generate pseudo-random bytes for the encryption
        // key. Specify the size of the key in bytes (instead of bits).
        byte[] keyBytes = password.GetBytes(keySize / 8);
       
        // Create uninitialized Rijndael encryption object.
        RijndaelManaged symmetricKey = new RijndaelManaged();
       
        // It is reasonable to set encryption mode to Cipher Block Chaining
        // (CBC). Use default options for other symmetric key parameters.
        symmetricKey.Mode = CipherMode.CBC;      
       
        // Generate encryptor from the existing key bytes and initialization
        // vector. Key size will be defined based on the number of the key
        // bytes.
        ICryptoTransform encryptor = symmetricKey.CreateEncryptor(
                                                         keyBytes,
                                                         initVectorBytes);
       
        // Define memory stream which will be used to hold encrypted data.
        MemoryStream memoryStream = new MemoryStream();      
               
        // Define cryptographic stream (always use Write mode for encryption).
        CryptoStream cryptoStream = new CryptoStream(memoryStream,
                                                     encryptor,
                                                     CryptoStreamMode.Write);
        // Start encrypting.
        cryptoStream.Write(plainTextBytes, 0, plainTextBytes.Length);
               
        // Finish encrypting.
        cryptoStream.FlushFinalBlock();

        // Convert our encrypted data from a memory stream into a byte array.
        byte[] cipherTextBytes = memoryStream.ToArray();
               
        // Close both streams.
        memoryStream.Close();
        cryptoStream.Close();
       
        // Convert encrypted data into a base64-encoded string.
        string cipherText = Convert.ToBase64String(cipherTextBytes);
       
        // Return encrypted string.
        return cipherText;
    }
   
    ///



    /// Decrypts specified ciphertext using Rijndael symmetric key algorithm.
    ///
    ///

    /// Base64-formatted ciphertext value.
    ///
    ///

    /// Passphrase from which a pseudo-random password will be derived. The
    /// derived password will be used to generate the encryption key.
    /// Passphrase can be any string. In this example we assume that this
    /// passphrase is an ASCII string.
    ///
    ///

    /// Salt value used along with passphrase to generate password. Salt can
    /// be any string. In this example we assume that salt is an ASCII string.
    ///
    ///

    /// Hash algorithm used to generate password. Allowed values are: "MD5" and
    /// "SHA1". SHA1 hashes are a bit slower, but more secure than MD5 hashes.
    ///
    ///

    /// Number of iterations used to generate password. One or two iterations
    /// should be enough.
    ///
    ///

    /// Initialization vector (or IV). This value is required to encrypt the
    /// first block of plaintext data. For RijndaelManaged class IV must be
    /// exactly 16 ASCII characters long.
    ///
    ///

    /// Size of encryption key in bits. Allowed values are: 128, 192, and 256.
    /// Longer keys are more secure than shorter keys.
    ///
    ///
    /// Decrypted string value.
    ///
    ///
    /// Most of the logic in this function is similar to the Encrypt
    /// logic. In order for decryption to work, all parameters of this function
    /// - except cipherText value - must match the corresponding parameters of
    /// the Encrypt function which was called to generate the
    /// ciphertext.
    ///
    public static string Decrypt(string   cipherText,
                                 string   passPhrase,
                                 string   saltValue,
                                 string   hashAlgorithm,
                                 int      passwordIterations,
                                 string   initVector,
                                 int      keySize)
    {
        // Convert strings defining encryption key characteristics into byte
        // arrays. Let us assume that strings only contain ASCII codes.
        // If strings include Unicode characters, use Unicode, UTF7, or UTF8
        // encoding.
        byte[] initVectorBytes = Encoding.ASCII.GetBytes(initVector);
        byte[] saltValueBytes  = Encoding.ASCII.GetBytes(saltValue);
       
        // Convert our ciphertext into a byte array.
        byte[] cipherTextBytes = Convert.FromBase64String(cipherText);
       
        // First, we must create a password, from which the key will be
        // derived. This password will be generated from the specified
        // passphrase and salt value. The password will be created using
        // the specified hash algorithm. Password creation can be done in
        // several iterations.
        PasswordDeriveBytes password = new PasswordDeriveBytes(
                                                        passPhrase,
                                                        saltValueBytes,
                                                        hashAlgorithm,
                                                        passwordIterations);
       
        // Use the password to generate pseudo-random bytes for the encryption
        // key. Specify the size of the key in bytes (instead of bits).
        byte[] keyBytes = password.GetBytes(keySize / 8);
       
        // Create uninitialized Rijndael encryption object.
        RijndaelManaged    symmetricKey = new RijndaelManaged();
       
        // It is reasonable to set encryption mode to Cipher Block Chaining
        // (CBC). Use default options for other symmetric key parameters.
        symmetricKey.Mode = CipherMode.CBC;
       
        // Generate decryptor from the existing key bytes and initialization
        // vector. Key size will be defined based on the number of the key
        // bytes.
        ICryptoTransform decryptor = symmetricKey.CreateDecryptor(
                                                         keyBytes,
                                                         initVectorBytes);
       
        // Define memory stream which will be used to hold encrypted data.
        MemoryStream  memoryStream = new MemoryStream(cipherTextBytes);
               
        // Define cryptographic stream (always use Read mode for encryption).
        CryptoStream  cryptoStream = new CryptoStream(memoryStream,
                                                      decryptor,
                                                      CryptoStreamMode.Read);

        // Since at this point we don't know what the size of decrypted data
        // will be, allocate the buffer long enough to hold ciphertext;
        // plaintext is never longer than ciphertext.
        byte[] plainTextBytes = new byte[cipherTextBytes.Length];
       
        // Start decrypting.
        int decryptedByteCount = cryptoStream.Read(plainTextBytes,
                                                   0,
                                                   plainTextBytes.Length);
               
        // Close both streams.
        memoryStream.Close();
        cryptoStream.Close();
       
        // Convert decrypted data into a string.
        // Let us assume that the original plaintext string was UTF8-encoded.
        string plainText = Encoding.UTF8.GetString(plainTextBytes,
                                                   0,
                                                   decryptedByteCount);
       
        // Return decrypted string.  
        return plainText;
    }
}

///



/// Illustrates the use of RijndaelSimple class to encrypt and decrypt data.
///
public class RijndaelSimpleTest
{
    ///



    /// The main entry point for the application.
    ///
    [STAThread]
    static void Main(string[] args)
    {
        string   plainText          = "Hello, World!";    // original plaintext
       
        string   passPhrase         = "Pas5pr@se";        // can be any string
        string   saltValue          = "s@1tValue";        // can be any string
        string   hashAlgorithm      = "SHA1";             // can be "MD5"
        int      passwordIterations = 2;                  // can be any number
        string   initVector         = "@1B2c3D4e5F6g7H8"; // must be 16 bytes
        int      keySize            = 256;                // can be 192 or 128
       
        Console.WriteLine(String.Format("Plaintext : {0}", plainText));

        string  cipherText = RijndaelSimple.Encrypt(plainText,
                                                    passPhrase,
                                                    saltValue,
                                                    hashAlgorithm,
                                                    passwordIterations,
                                                    initVector,
                                                    keySize);

        Console.WriteLine(String.Format("Encrypted : {0}", cipherText));
       
        plainText          = RijndaelSimple.Decrypt(cipherText,
                                                    passPhrase,
                                                    saltValue,
                                                    hashAlgorithm,
                                                    passwordIterations,
                                                    initVector,
                                                    keySize);

        Console.WriteLine(String.Format("Decrypted : {0}", plainText));
    }
}
//
// END OF FILE
///////////////////////////////////////////////////////////////////////////////



Es todo por el momento



@Dkavalanche 2012
.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...