Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Pushbot.VR    
General

EL Pushbot.VR es un gusano que se propaga a través de Facebook, Messenger y Skype por medio de enlaces que lo re direccionan a servidores donde se descarga el malware. Es una variante de la familia Pushbot.
Se puede detectar por medio de enlaces falsos o que no fueron digitados por el usuario en el muro del Facebook (a través de las cookies almacenadas) o en las conversaciones de Messenger o Skype.

SHA256: 8cd14389bb78c96e20b147fd02728a1cc1d089e876ebbb535798670282ee6595
SHA1: 8284814c5c5cb0f37fe200b918b65ef89c259a0a
MD5: 3e50b76c0066c314d224f4fd4cbf14d5
Tamaño: 112.5 KB ( 115204 bytes )

TrID:

Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)

Deteccion: 34/42 (VirusTotal)
Fecha del analisis: 2012-08-21

Alias:

AVG

Dropper.Generic6.ACEP

BitDefender

Trojan.Agent.AVUG

Comodo

UnclassifiedMalware

Kaspersky

Trojan.Win32.Agent.soqa

McAfee

Generic PWS.zr

McAfee-GW-Edition

Generic PWS.zr

Microsoft

Worm:Win32/Pushbot.VR

Norman

W32/Pushbot.AN

Sophos

W32/Pushbot-Z

Symantec

Trojan.Gen



Información del archivo en ejecución
El dropper extrae dos nuevos archivos con nombres aleatorios en las rutas:

C:\Documents and Settings\Administrador\Configuración local\Datos de programa
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio


 

 

Modificaciones en el registro de Windows DESCARGAR ARCHIVO TXT

HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\maxtvhm: "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\kojkeq.exe"

 

Información de red

Genera las siguientes peticiones DNS

 

Se envía información de configuración del PC afectado como:

Dirección IP
Versión del Sistema Operativo
Información de los discos duros
Página de inicio del browser
La versión del browser instalado por defecto

 

Una vez los datos han sido enviados, el servidor responde con opciones de configuración cifradas y realiza las siguientes acciones:

Descarga archivos arbitrarios
Cambia la página de inicio de los browsers instalados

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos