Gusanito.exe descarga troyano bancario y conecta a irc

2 views
Skip to first unread message

Lostmon lords

unread,
Mar 12, 2008, 2:52:26 PM3/12/08
to Jose Luis Lopez, los...@googlegroups.com, phis...@internautas.org
########################################################
Gusanito.exe descarga troyano bancario y conecta a irc
Articulo original:http://lostmon.blogspot.com/2008/03/
gusanitoexe-descarga-troyano-bancario-y.html
########################################################

Hoy me llego un nuevo intento de pishing disfrazado
con una targeta de gusanito.com.

Despues de un leve estudio sobre el mismo descubro que
el link de la targeta lleva a la descarga directa de
un archivo llamado "gusanito.exe".

##########################
imagen del mail
##########################
<a href="http://usuarios.lycos.es/reyfuss/pshishing/vista_mail.GIF"
target="_BLANK"><img
src="http://usuarios.lycos.es/reyfuss/pshishing/vista_mail.GIF"
height="250" width="400"></a>

Me descargo el ejecutable y despues de analizar el
archivo , me sorprendo por lo poco escondido que
esta en si el intento de fraude.

###########################
Imagen cabeceras mail
###########################
<a href="http://usuarios.lycos.es/reyfuss/pshishing/vista_mail_cabeceras.GIF"
target="_BLANK"><img
src="http://usuarios.lycos.es/reyfuss/pshishing/vista_mail_cabeceras.GIF"
height="250" width="400"></a>

Si el usuario incauto descargo y ejecuto, ya que
se esconde bajo el incono de un dibujo, el archivo
esconde un troyano bancario llamado winmedia.exe
el troyano es Trojan-Spy.Win32.Banker.anv o alguna
de sus variantes su informacion puede consultarse aqui:

http://www.viruslist.com/en/viruses/encyclopedia?virusid=105552


Si observamos el codigo en hexa del ejecutable "gusanito.exe"
encontramos varias cosas curiosas:

La ruta donde el el atacante a compilado su proyecto asi
como el nombre de usuario con el que se haya logeado en su
maquina.

C : \ D o c u m e n t s a n d S e t t i n g s \ h u g o \
E s c r i t o r i o \ H u g o T o o l s F I N A L I S I M O
3 . 0 \ H u g o T o o l s \ D R O N E S \ P r o y e c t o 1 . v b p

Entre el codigo tambien se ve que interactua con MSN ,obteniendo
la lista de contactos y mandando in mensage a los contactos con varios
mensages distintos, imitando alguna de los tipicos virus de msn
con los mensages , mira estas fotos o mira este video hermoso hermoso
hermoso entre otras (en el archivo hexa pueden verse claramente)

lanzando asi la url para el usuario victima junto con la frase.

#########################################
imagen clave msn y imagen frases msn
#########################################
<a href="http://usuarios.lycos.es/reyfuss/pshishing/hexa_msn.GIF"
target="_BLANK"><img
src="http://usuarios.lycos.es/reyfuss/pshishing/hexa_msn.GIF"
height="250" width="400"></a>

<center><a href="http://usuarios.lycos.es/reyfuss/pshishing/hexa_frases.GIF"
target="_BLANK"><img
src="http://usuarios.lycos.es/reyfuss/pshishing/hexa_frases.GIF"
height="250" width="400"></a></center>

#############################################
Imagen link descarga y clave registro windows
###############################################
<a href="http://usuarios.lycos.es/reyfuss/pshishing/clave_descrga.GIF"
target="_BLANK"><img
src="http://usuarios.lycos.es/reyfuss/pshishing/clave_descrga.GIF"
height="250" width="400"></a>

Ademas , se establece una conexion al servidor ccpower.com.mx
por irc con un nick Drone??? donde ??? son numeros aleatorios
y entrando al canal #banamex donde de los casi 400 usuarios
del canal ,el 90% son victimas infectadas.

#############################
conexion irc
#############################
<a href="http://usuarios.lycos.es/reyfuss/pshishing/hexa_irc.GIF"
target="_BLANK"><img
src="http://usuarios.lycos.es/reyfuss/pshishing/hexa_irc.GIF"
height="250" width="400"></a>

Es desde este canal desde donde se manejan a los usuarios
victima ,pasando por el canal las direcciones de email
de los contanctos de las victimas y obteniendo los datos
que hayan podido ser capturados por el atacante , bien sea
por el troyano o bien sea por las funciones de keyloger
que posee el ejecutable.

############################################
Imagen vista irc
############################################
<a href="http://usuarios.lycos.es/reyfuss/pshishing/vista_irc.GIF"
target="_BLANK"><img
src="http://usuarios.lycos.es/reyfuss/pshishing/vista_irc.GIF"
height="250" width="400"></a>


ni que decir tiene que fuy baneado de su irc ...
creo que no tienen sentido del humor XDDDD

La proteccion es la misma de siempre, no descargar
archivos desde fuentes no fidelignas,

Tener el antivirus actualizado

Y NO EJECUTAR NADA SIN SABER QUE ES Y SIN HABERLE
PASADO ANTES UN ANTIVIRUS !!!!!!!

#################€nd#####################

Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com

--
atentamente:
Lostmon (los...@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....

Reply all
Reply to author
Forward
0 new messages