elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Trojan Banker - Segue em anexo a 2 via do boleto, Dpto Juridico.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Trojan Banker - Segue em anexo a 2 via do boleto, Dpto Juridico.  (Leído 3,781 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Trojan Banker - Segue em anexo a 2 via do boleto, Dpto Juridico.
« en: 30 Septiembre 2014, 23:37 pm »

Código fuente del mensaje recibido:

Código:
Source:
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGb27WyWDr7OJIxM0/W6OFf7u/luuGOYHbJldrqaw7hjArci/+7PnaiUt1GYT0o94FwoX2U9VuS+OZ/tzwamW3DXyb0HNhWfLe4=
Authentication-Results: hotmail.com; spf=fail (sender IP is 50.116.33.183; identity alignment result is fail and alignment mode is relaxed) smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=hotmail.com; x-hmca=none header.id=mixelyx@hotmail.com
X-SID-PRA: mixelyx@hotmail.com
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUADLyhfuKR0VAaHUpByYtQLqMSnQ5cvatKmlMNBa08gleb5J4UwfwM+ovq0PfAyv3mz88ptSD0ilrCaCqbPo0o3ZNeCNF7ifkeTaGhV0pjHHB9a/uoMOHlOZRQxSQN11TsGCL4xbkYs7HGuVKA4O9XNoGdRoUSK0o1ZJ3ttMjIvd
Received: from uol.com.br ([50.116.33.183]) by BAY004-MC2F29.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
         Tue, 23 Sep 2014 01:53:39 -0700
Received: by uol.com.br (Postfix, from userid 33)
        id 6A09161439; Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
To: xxxxx@hotmail.com
Subject: Segue em anexo a 2 via do boleto, Dpto Juridico.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Juridico <mixelyx@hotmail.com>
Message-Id: <20140923073335.6A09161439@uol.com.br>
Date: Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
Return-Path: www-data@uol.com.br
X-OriginalArrivalTime: 23 Sep 2014 08:53:39.0464 (UTC) FILETIME=[DE80F880:01CFD70B]
 
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="content-type">
  <title></title>
</head>
<body>
<a href="hxtps://storage.googleapis.com/visualizaoronlines/documento.html"><img
 style="border: 0px solid ; width: 971px; height: 648px;"
 src="hxtp://gsete.com/osticket/js/emiss.png"
 alt="Para ver o anexo clique aqui"></a>
<p><img src="hxtp://bit.ly/XZrR6u" width="1" height="1" /></p>
</body>
</html>

Aquí tenemos el archivo:

hxtps://storage.googleapis.com/visualizaoronlines/documento.html  >:D

VT: https://www.virustotal.com/es/url/b237e77608d997a5f4d036e39f87c473379436332ab8eeb7b74677e90b47a1fc/analysis/1412065188/ --> 0 / 59
AI: https://anubis.iseclab.org/?action=result&task_id=1aeb136b9180b69e47900b7de352b3a03



Aqui el análisis del archivo content.js:
VT: https://www.virustotal.com/es/file/94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b/analysis/1412057891/
SHA256: 94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b

Nombre: content.js
Detecciones: 2 / 55
Fecha de análisis: 2014-09-30 06:18:11 UTC ( hace 0 minutos )

instal.rdf:
Código:
File: install.rdf
MD5:  b39f4830a0e4e05367e585209fbcc71b
Size: 1080

Ascii Strings:
---------------------------------------------------------------------------
<?xml version="1.0" encoding="utf-8"?><!-- This Source Code Form is subject to the terms of the Mozilla Public
   - License, v. 2.0. If a copy of the MPL was not distributed with this
   - file, You can obtain one at http://mozilla.org/MPL/2.0/. --><RDF xmlns="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:em="http://www.mozilla.org/2004/em-rdf#">
  <Description about="urn:mozilla:install-manifest">
    <em:id>jid1-Sqj4NY0VG6TS9g@jetpack</em:id>
    <em:version>0.1</em:version>
    <em:type>2</em:type>
    <em:bootstrap>true</em:bootstrap>
    <em:unpack>false</em:unpack>
    <!-- Firefox -->
    <em:targetApplication>
      <Description>
        <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
        <em:minVersion>21.0</em:minVersion>
        <em:maxVersion>29.0a1</em:maxVersion>
      </Description>
    </em:targetApplication>
    <!-- Front End MetaData -->
    <em:name>Visualizador Documentos</em:name>
    <em:description>a basic add-on</em:description>
    <em:creator></em:creator>
    
    
    
  </Description>
</RDF>

Versiones afectadas para firefox:

Citar
       <em:minVersion>21.0</em:minVersion>
        <em:maxVersion>29.0a1</em:maxVersion>

harness-options.json:

Código:
hxtp://lucasdasilvaregere.biz/


view-source:http://lucasdasilvaregere.biz/:

<script src="//ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js" ></script>

  <link id="css-3373342544" class="www-core" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-core-webp-vflhcl-Ef.css" data-loaded="true">


      <link id="css-2187159078" class="www-player" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-player-webp-vfl3CEEFK.css" data-loaded="true">


Descarga del plugin para chrome y firefox (extraido del código fuente):

Firefox: hxtps://storage.googleapis.com/visualizaoronlines/VisualizadorDocumentos.xpi
Chrome: hxtps://chrome.google.com/webstore/detail/visualizador-online/ncmmgnoahjmpdboogfafhhaipgejaebl
Datos:
[Versión: 0.0.13
Última actualización: 22 de septiembre de 2014
Tamaño: 68.01KB
Idioma: português (Brasil)]



Upssss cuanta gente: Accesibilidad  [1.000 usuarios] "Good Botnet...."

Para abrir los archivos con extensión .xpi para Firefox pueden usar cualquier extractor, sea UniExtract, IZArc, winrar....



Otros datos:

http://whois.domaintools.com/lucasdasilvaregere.biz
[Proxied by AnonymousBitcoinDomains.com]

Información sobre los archivos con extensión .webp qie interpreta Chrome:

https://developers.google.com/speed/webp/
http://es.wikipedia.org/wiki/WebP
http://www.fileinfo.com/extension/webp

Quien quiera echarle un ojo lo he subido a dos servidores:

Descarga: http://www.mediafire.com/download/ua1tyyjby03y8h2/VisualizadorDocumentos.zip
                https://mega.co.nz/#!54ZhXRIT!zdvp1ssnsf-ad8QFAZCIHjc27H_F6X6grVlX0MXUgCo
Pass: infected

Contenido del archivo comprimido:



Espero no haber olvidado nada, cualquier cosa lo añado.

Saludos.
« Última modificación: 1 Noviembre 2014, 02:21 am por r32 » En línea

phat_one@h0st:~$

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Trojan Banker - Segue em anexo a 2 via do boleto, Dpto Juridico.
« Respuesta #1 en: 31 Octubre 2014, 02:29 am »

bueno el analizis
En línea

mangutech.blogspot.com
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[MOD] Anexo Windows del ataque Bluebug
Hacking Mobile
sabre_eye 3 4,503 Último mensaje 22 Julio 2005, 19:07 pm
por Gospel
Trojan-Banker.Win32.BifitAgent, un troyano que ataca a la banca online
Noticias
wolfbcn 0 1,197 Último mensaje 22 Mayo 2013, 14:07 pm
por wolfbcn
Trojan:JS/Redirector y js: Trojan-Clicker. como funcionan?
Análisis y Diseño de Malware
dega1980 3 2,914 Último mensaje 13 Abril 2014, 19:34 pm
por .:UND3R:.
¿Ya tienes tu boleto para....
Foro Libre
MinusFour 1 1,494 Último mensaje 17 Julio 2015, 10:41 am
por Br1ant
BackSwap, el banker que simula ser un usuario
Noticias
wolfbcn 0 1,195 Último mensaje 31 Mayo 2018, 02:07 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines