Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Mensaje en el MSN con regalo incluido

Ver el tema anterior Ver el tema siguiente Ir abajo

Tutorial Mensaje en el MSN con regalo incluido

Mensaje  r32 el Jue Sep 01, 2011 11:45 pm

Ayer me llegó un mensaje curioso a la bandeja del msn, con el siguiente titulo: Correios web
Echamos un ojo al codigo fuente:
Código:
Authentication-Results: hotmail.com; sender-id=pass (sender IP is 65.55.116.106) header.from=fer_fubers@hotmail.com; dkim=neutral header.d=hotmail.com; x-hmca=pass
X-Message-Status: n:0:n
X-SID-PRA: Correios Web <fer_fubers@hotmail.com>
X-SID-Result: Pass
X-AUTH-Result: PASS
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==
X-Message-Info: 1MbNyKYGbyy5rpnENjqlSi6xwqumeSlNRFWQFkHXS+UyNTMShQmkTmRZ6iakiKEicJMtWKH6l9v2IjeX8WIQcVA2ywdxILKeGd5eCrE1bZv1naQdyWCyI/oPxSaHbWzq5+I+qR3xeyM=
Received: from blu0-omc3-s31.blu0.hotmail.com ([65.55.116.106]) by bay0-hmmc2-f9.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
    Tue, 30 Aug 2011 14:41:43 -0700
Received: from BLU0-SMTP437 ([65.55.116.73]) by blu0-omc3-s31.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
    Tue, 30 Aug 2011 14:41:30 -0700
X-Originating-IP: [94.249.191.97]
X-Originating-Email: [fer_fubers@hotmail.com]
Message-ID: <BLU0-SMTP437C5354A4CA6894757A7E6F4170@phx.gbl>
Return-Path: fer_fubers@hotmail.com
Received: from [94.249.191.97] ([94.249.191.97]) by BLU0-SMTP437.phx.gbl over TLS secured channel with Microsoft SMTPSVC(6.0.3790.4675);
    Tue, 30 Aug 2011 14:41:30 -0700
Content-Type: multipart/mixed;
   boundary="===============1295908614333547560=="
MIME-Version: 1.0
From: Correios Web <fer_fubers@hotmail.com>
Subject: =?utf-8?q?Correio_=280=2E52343=29?=
To: lee_francoo@hotmail.com, srlazzaretti@uol.com.br, nandacurto@hotmail.com,
 cesarcomltda@hotmail.com, cesar@fisaincorporadora.com.br,
 rafambueno@hotmail.com, edgar_novillo@hotmail.com, thianenunes@gmail.com,
 duda_1209@hotmail.com, danimarchioro@hotmail.com
To: marcelonessa1@hotmail.com, tchelinhadr@hotmail.com,
 igor_lucas35@hotmail.com, gato_preto_dm@hotmail.com, xbrunomsn@hotmail.com,
 francinicidrao@hotmail.com, selvyevelivill@hotmail.com,
 hilariopescador@hotmail.com, cintiafulcher@hotmail.com, simone-n@hotmail.com
To: renathasiqueira@hotmail.com, luciane60@hotmail.com, edi.bl@hotmail.com,
 alindinha_rf@hotmail.com, mateussul_ja@hotmail.com, guisoares.tm@gmail.com,
 matheus_mandelli@hotmail.com, randallildartleyon88@hotmail.com,
 dias_katiucia@hotmail.com, betamattana@gmail.com
To: blc_debo@hotmail.com, sadraque38@hotmail.com, paulo_nichele@hotmail.com,
 ida2190@hotmail.com, lucasbernardirizzon@hotmail.com, slit767@hotmail.com,
 kirk0r@hotmail.com, tatazynha_6@hotmail.com, msndodani1@hotmail.com,
 healeylucingt@hotmail.com
To: tosspuc@hotmail.com, bubix_bruninha@hotmail.com, crema74@libero.it,
 rebeca021@hotmail.com, luixhc@hotmail.com, gabriela-bacim@hotmail.com,
 elizabetdycus5400@hotmail.com, israelriella@hotmail.com,
 fernandinhabecker@hotmail.com, nexinhapereira@hotmail.com
To: infernoff@hotmail.com, catri_dibob@hotmail.com, guisoares_tm@ig.com.br,
 toniopitorini@hotmail.com, joferreira_rs@hotmail.com,
 handrefischer@hotmail.com, patyguel@hotmail.co.uk, pattizago@hotmail.com,
 guisoares_tm@hotmail.com, dadodireito@hotmail.com
To: teenadanish8457@hotmail.com, padraiccespedes81@hotmail.com,
 margotfundenbergerfcxyi@hotmail.com, ale._lima@hotmail.com,
 pri_fofuxa@hotmail.com, eduardosouz@hotmail.com, araguto@hotmail.com,
 robertachim@hotmail.com, jorgekhlat@hotmail.com, rafaelrizzon@hotmail.com
To: ilovesz2007@hotmail.com, daiane.boss@hotmail.com,
 daniel_t_u_k_i@hotmail.com, abssinto@hotmail.com, gustisot@hotmail.com,
 rodrigo_demoraes@hotmail.com, bruna.bubinha@hotmail.com, gi-bc@hotmail.com,
 fisamkt03@hotmail.com, duznanski@hotmail.com
To: fer_fubers@hotmail.com, maria.goularte@hotmail.com,
 marcia_fulton49m@hotmail.com, melitavining3284@hotmail.com,
 badmachinetattoo@hotmail.com, guilherme_vieira@msn.com, cy.mary@hotmail.com,
 v.alise@hotmail.com, claudenor@hotmail.com, clauzinha.p@hotmail.com
To: lojasviabelly@hotmail.com, saltamartini1ix@zeldamail.info,
 apmeira@hotmail.com, danuzete@hotmail.com, turqueza_@hotmail.com,
 katy_loukinha@hotmail.com, nanda_curto@hotmail.com, calopsita_r@hotmail.com,
 cintiacosmin@hotmail.com, rodrigo_pastor@yahoo.com
To: ozielsilveira@hotmail.com, evi_a_loira@hotmail.com, rafaeldivon@hotmail.com,
 luigihentz@hotmail.com, frogue1@hotmail.com, help.monografias@hotmail.com,
 patricia.lombardi@hotmail.com, galinabelgradefiugz@hotmail.com,
 aneliserigodemarco@hotmail.com, sky_bobinha@hotmail.com
To: infernocoral162010@hotmail.com, mar_pulita@hotmail.com,
 nferronatto@hotmail.com, b.bpelayo@hotmail.com, mladami@hotmail.com,
 grupodeclaracoescd@hotmail.com, daia_cx@hotmail.com,
 diegocervelin3@hotmail.com, micaelafung6344@hotmail.com,
 cp.menezes@yahoo.com.br
To: cakki26@hotmail.com, leobt100@hotmail.com, mirimaciel@hotmail.com,
 csilva_o@hotmail.com, tattoo-ipl@hotmail.com, fernandocefetes@hotmail.com,
 leo.frezza@hotmail.com, anadeniserosa@hotmail.com, dermobellee@hotmail.com,
 maluketbruna@msn.com
To: danizinha.dani.86@hotmail.com, xbrunomsn@gmail.com,
 alineramos00@hotmail.com, daniel.saleng@bol.com.br, alylindinha@yahoo.com.br,
 gr-car@hotmail.com, nego_jon@thahotmail.com, mnzs_1@hotmail.com,
 jessy_biondo@hotmail.com, cinemaevideo@hotmail.com
To: cso84@msn.com, vinigatito@hotmail.com, unasilva@hotmail.com,
 alvarodallecio@hotmail.com, fernipum@hotmail.com, felipec@farmaciaipam.com.br,
 shade_zed@hotmail.com, thiagomenegat@hotmail.com, sitedodani@hotmail.com,
 daianemacedos8@hotmail.com
To: dessa_rocks@yahoo.com.br, kenny_kirby@hotmail.com, naiararech@hotmail.com,
 lulugrasy@hotmail.com, ivsonsilva5@hotmail.com, alanguitarra@hotmail.com,
 nathaliareschke@hotmail.com, claudinha_2004jpa@hotmail.com, fsgbru@hotmail.com,
 lidaheitmullerhynwa@hotmail.com
To: moni_dallagnol@hotmail.com, cso84@hotmail.com, rogerioeberhardt@hotmail.com,
 lucasfh_od@hotmail.com, sexyshoes_brasil@hotmail.com, danifollow@yahoo.com.br,
 lord_mr_crash@hotmail.com, nanocxs@hotmail.com, sandra_lira@hotmail.com,
 gi.barbara@brturbo.com.br
To: doralaguna@hotmail.com, mmaitelli@hotmail.com, catia_csm@hotmail.com,
 estelladuffy24z@hotmail.com, definitivamariarosa@hotmail.com,
 lisistar@hotmail.com, pacheco_rs@hotmail.com, nickis__@hotmail.com,
 tocallo106@hotmail.com, vendas.dermafrance@hotmail.com
X-OriginalArrivalTime: 30 Aug 2011 21:41:30.0432 (UTC) FILETIME=[9448CC00:01CC675D]
Date: Tue, 30 Aug 2011 14:41:30 -0700

--===============1295908614333547560==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

<A href='http://bit.ly/q6Suhw?0.61662.1.15811.0.94275'><img src='http://bit.ly/pyPltb?0.61662.0.76108.0.65801' /></A><br>ID=0.61662.0.76108.0.65801

Al final de log podemos ver que el mensaje nos pone un link para descargar la supuesta foto:

<A href='hxxp://bit.ly/q6Suhw?0.61662.1.15811.0.94275'><img src='hxxp://bit.ly/pyPltb?0.61662.0.76108.0.65801' /></A><br>ID=0.61662.0.76108.0.65801
[/code]



Empaquetado:



Analisis de VirusTotal:
http://www.virustotal.com/file-scan/report.html?id=e9481d17f67589374d2b3daff70885fd424513df62def442ee6a4f2e196253e3-1314917723
Result: 13 /43
MD5: 123DC8111D3B9348DC248E5B75D0F186

Analisis de Anubis: http://anubis.iseclab.org/?action=result&task_id=10c3d2bc842147c2409dfc668c90b797d
http://anubis.iseclab.org/?action=result&task_id=10c3d2bc842147c2409dfc668c90b797d&format=pdf

Tiene una buena tasa de deteccion, aunque de los principales antivirus utilizados ninguno encuentra nada, Malwarebytes tampocoo detecta nada malo...

Tiene ofuscado el codigo, al verlo desde un hexa, legible solo hay esto al final del code:
Código:
V.S._.V.E.R.S.I.O.N._.I.N.F.O.....½.ïþ................................................D.....V.a.r.F.i.l.e.I.n.f.o.....$.....T.r.a.n.s.l.a.t.i.o.n.......°.8.....S.t.r.i.n.g.F.i.l.e.I.n.f.o.........0.4.0.9.0.4.B.0...p.V...C.o.m.m.e.n.t.s...q.u.a.r.t.a.-.f.e.i.r.a.,. .3.1. .d.e. .a.g.o.s.t.o. .d.e. .2.0.1.1.1.5.:.2.1.:.1.7.....x.V...C.o.m.p.a.n.y.N.a.m.e.....q.u.a.r.t.a.-.f.e.i.r.a.,. .3.1. .d.e. .a.g.o.s.t.o. .d.e. .2.0.1.1.1.5.:.2.1.:.1.7.....8.....P.r.o.d.u.c.t.N.a.m.e.....P.g.I.T.j.j.m.d.f.g.....,.....F.i.l.e.V.e.r.s.i.o.n.....1...0.0.....0.....P.r.o.d.u.c.t.V.e.r.s.i.o.n...1...0.0.....8.....I.n.t.e.r.n.a.l.N.a.m.e...P.g.I.T.j.j.m.d.f.g.....H.....O.r.i.g.i.n.a.l.F.i.l.e.n.a.m.e...P.g.I.T.j.j.m.d.f.g...e.x.e.....<?xml version="1.0" encoding="UTF-8" standalone="yes"?>..<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">..<assemblyIdentity version="1.0.0.0" processorArchitecture="X86" name="PgITjjmdfg.PgITjjmdfg" type="win32" />..<description>PgITjjmdfg</description>..<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">..<security>..<requestedPrivileges>..<requestedExecutionLevel level="requireAdministrator" uiAccess="false"/>..</requestedPrivileges>..</security>..</trustInfo>..</assembly>..............

Claramente con solo esto ya podemos ver que buenas intenciones no tiene el amigo, pero quiero probar de ver a donde conecta, a veces los analisis desde Anubis pasan por alto si se conecta a X host para descargar una nueva version o plugins para pasar inadvertido al sistema.
Si saco algo en claro lo comento.
avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.