Hoy Lunes, comienzo de semana laboral, les traigo dos amenazas que encabezan el ranking de infecciones en Latam. Un simple troyano Qhost y el archi conocido malévolo... Dorkbot.
Empezamos con Qhost - con el ya conocido falso mensaje de "nuestra amiga del Face" Andrea Rosales.
Icono de la amenaza
Análisis en VT con un indice bajo de detecciones, se trata de un programa programado en VBasic 6 y codificado con un Crypter.
Icono del programa dump, sin la parte del ofuscado con el Crypter
Strings encontrados en Hexadecimal, que pasados a Ascii nos dan una idea de que se trata:
loc_403145: LitVarStr var_94, "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473"
C:\WINDOWS\System32\drivers\etc\hosts (archivo que sera modificado para realizar el pharming local)
loc_403A35: LitVarStr var_154, "433A5C57494E444F57535C73797374656D5C77696E63616C2E657865"
C:\WINDOWS\system\wincal.exe (nombre que tendrá la amenaza en el sistema)
loc_403AB2: LitVarStr var_114, "6C6F61643D433A5C57494E444F57535C73797374656D5C77696E63616C2E657865"
load=C:\WINDOWS\system\wincal.exe
Configuración del pharming:
687474703A2F2F7777772E6761627269656C732D70697A7A657269612D77696573626164656E2E64652F706C7567696E732F656469746F72732F496D6167656E65732F67616C6C6572792F68747470646163657373
http://www.gabriels-pizzeria-wiesbaden.de/plugins/editors/Imagenes/gallery/httpdacess
Sitio web vulnerado para alojar la configuración del pharming
Seguimos con DorkBot - Continua la campaña con la falsa postal de Sonico.
Se trata de ejecutable con una capa de Crypter en Vbasic para ofuscar un troyano Dorkbot.
Análisis en VT con un indice bajo de detecciones, estas detecciones solo informan del Crypter y no detectan a Dorkbot.
Quitada la capa de ofuscación se puede observar que se trata de DorkBot (ngrBot)
Todas las muestras del 2x1 + dumps en: http://www.mediafire.com/?axx6776wj195uw2
Pass = infected
Eso es todo por el momento.
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario