martes, 26 de marzo de 2013

Troyano Qhost - Y van....


Continua extendiéndose esta amenaza que ya se ha analizado en varias ocasiones.
El troyano es el mismo, esta vez sigue afectando a entidades bancarias del Perú.


El archivo de configuración para la el pharming es tomado desde el siguiente URL

http://locasimagenes.info/images/thumb/Peru/2BC5F61EB.jpg

Se encuentra codificado y con una extension jpg que no corresponde al tipo de archivo.


Utilizando este simple algoritmo, podemos obtener el archivo .host real que se grabara en la PC de la victima, con el fin de redireccionarla a sitios falsos.

----------------------------------------------------------------------------------------------------------------
import sys
from urllib import FancyURLopener
from random import choice
import string

url ='http://locasimagenes.info/images/thumb/Peru/2BC5F61EB.jpg';
ca = ''
salida = '';
user_agents = [
    'Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11',
  #  'Opera/9.25 (Windows NT 5.1; U; en)'
  #  'Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.162 Safari/535.19'
  #  'Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)'
]


def sumab(string):
    data = []
    for k in xrange(len(string)):
            se = ord(string[k])
            xx = (se - 07)
            data += [chr(xx)]
    return data

class MyOpener(FancyURLopener, object):
    version = choice(user_agents)

myopener = MyOpener()
source = myopener.open(url)
cadena = source.read()


salida = sumab(cadena);


for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca

----------------------------------------------------------------------------------------------------------------

Salida.

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x


127.0.0.1       localhost 
142.54.177.186 viabcp.com
142.54.177.186 www.viabcp.com
142.54.177.186 zonasegura.viabcp.com
142.54.177.186 telecreditonp.bcp.com.pe
142.54.177.186 telecredito.bcp.com.pe
142.54.177.186 peb1.bbvanetlatam.com
142.54.177.186 financiero.com.pe
142.54.177.186 www.financiero.com.pe
142.54.177.186 bancofalabella.pe
142.54.177.186 www.bancofalabella.pe
142.54.177.186 interbank.com.pe
142.54.177.186 www.interbank.com.pe
142.54.177.186 netinterbank.com.pe
142.54.177.186 scotiabank.com.pe
142.54.177.186 www.scotiabank.com.pe
142.54.177.186 scotiaenlinea.scotiabank.com.pe
142.54.177.186 wiese.com.pe
142.54.177.186 www.wiese.com.pe
142.54.177.186 scotiaenlinea.wiese.com.pe
142.54.177.186 bws.com.pe
142.54.177.186 www.bws.com.pe
142.54.177.186 scotiaenlinea.bws.com.pe
142.54.177.186 bn.com.pe
142.54.177.186 www.bn.com.pe
142.54.177.186 zonasegura1.bn.com.pe
142.54.177.186 correoweb.terra.com.pe
142.54.177.186 correo.speedy.com.pe
142.54.177.186 gmail.com
142.54.177.186 www.gmail.com
142.54.177.186 mail.gmail.com
142.54.177.186 g.msn.com
142.54.177.186 www.g.msn.com
142.54.177.186 hotmail.com
142.54.177.186 www.hotmail.com
142.54.177.186 lives.com
142.54.177.186 login.lives.com
142.54.177.186 outlook.com
142.54.177.186 www.outlook.com
142.54.177.186 livez.com
142.54.177.186 login.livez.com



Eso es todo por el momento.


@DkAvalanche   2013


Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...