Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Poison.A    
General

El troyano Poison.A es una nueva clase de troyano el cual permite descargar código que puede ser ejecutado sin la necesidad de descargar la imagen de un archivo .exe como tal. Estamos hablando de una nueva raza de los famosos Trojan downloaders (como su predecesor: Win32/Poison - Poison Ivy) los cuales eran modificados desde un servidor remoto por lo que el archivo inicial como tal cumplía únicamente funciones de descarga y ejecución.
Cuando el troyano es ejecutado se conecta al sitio web de un restaurante tibetano para descargar nuevas porciones de código (payload) y las ejecuta en su propio proceso en ejecución, se copia en la carpeta system32 de Windows bajo el nombre de misys.exe e inicializa funciones de keylogging entre otras.

MD5: 41314f2f914bc70cca19ed32a9e64178
SHA1: 2cc1b2cca8d07b55144141625aea3e61f2eca182
SHA256: 111539349cd177f5180c34abcb6475bac45b3deed098cc1ee3aaf179d970d22b
ssdeep: 96:gsZRcfk58KGsHMdPZMyweQWfacuvXXFrDi00zljGsdjADiad62REi2:7SM589bdPZticuPhDi0olzeDiaL+i

Nombre: 2cc1b2cca8d07b55144141625aea3e61f2eca182.exe
Tamaño: 20.0 KB ( 20480 bytes )
Tipo: Win32 EXE
Codigo del lenguaje: Chinese (Simplified)
Nombre original: 1.exe
Arquitectura de maquina: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows GUI
SubsystemVersion: 4.0

TrID:

Win32 Executable Microsoft Visual Basic 6 (90.9%)
Win32 Executable Generic (6.1%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

IMPORTS:

MSVBVM60.DLL:
__vbaVarTstGt, _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaStrVarMove, __vbaFreeVarList, _adj_fdiv_m64, _adj_fprem1, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryDestruct, __vbaVarForInit, _adj_fdiv_m16i, _adj_fdivr_m16i, __vbaVarIndexLoad, -, __vbaBoolVarNull, __vbaRefVarAry, _CIsin, __vbaChkstk, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaObjVar, DllFunctionCall, _adj_fpatan, __vbaRedim, EVENT_SINK_Release, _CIsqrt, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, __vbaUbound, -, _CIlog, __vbaNew2, __vbaVarLateMemCallLdRf, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaVarNot, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarSetVar, __vbaI4Var, __vbaLateMemCall, __vbaAryLock, __vbaVarDup, __vbaUnkVar, __vbaVarLateMemCallLd, _CIatan, __vbaStrMove, _allmul, _CItan, __vbaUI1Var, __vbaAryUnlock, __vbaVarForNext, _CIexp, __vbaFreeObj, __vbaFreeStr

Deteccion: 33/43 (VirusTotal)
Fecha del analisis: 03-02-2012

Alias:
AntivirusResult
AvastWin32:VB-AAGN [Trj]
AVGDownloader.VB.RYP
BitDefenderTrojan.Generic.7044544
McAfeeGeneric.bfr!dl
MicrosoftTrojanDownloader:Win32/Poison.A
NOD32probably a variant of Win32/Agent.CXUGFCW
PandaGeneric Trojan
TrendMicroBKDR_POISONDLD.A


Al ejecutar el archivo sin tener una conexión a internet se puede visualizar la siguiente ventana


Cuando no existen problemas con la conexión él troyano usa el proceso explorer.exe para crear el enlace HTTP con el servidor destino de dirección IP 74.208.214.43 el cual mantiene la pagina web en cuestión hxxp://tasteoftibet.net/1207.html

Domain NameIP AddressIP LocationOrigin
tasteoftibet.net74.208.214.43Chesterbrook





Al revisar el contenido de la página 1207.html se puede visualizar el código a ejecutar en formato Hexadecimal


Al revisar el contenido de un archivo misys creado a la vez con el archivo misys.exe se pueden ver todos los eventos de teclado digitados desde su creación, para este ejemplo se creó un archivo txt llamado test con el contenido “Esta es una prueba para los Keystrokes…”


Modificaciones en el Registro de Windows: ARCHIVO TXT

Archivo de red: ARCHIVO PCAP


Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos