Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Sinowal / Backdoor.Win32.Sinowal.urx
General

Sinowal es un tipo de troyano bancario que puede interceptar y modificar todo el contenido entre el explorador y cualquier servidor web, asi mismo obtiene la información personal de la víctima como credenciales de acceso y de los diferentes procesos en ejecución en el sistema infectado.

SHA256: d236046486fa0f5af488f701fb826ac4775886938d881c3690c1757047988e7f
SHA1: 3f2b46c07032491ae906ec0fdf79c707d2fcdaa8
MD5: 388a55fbefe5f639bdef2769a807ec01
File size: 221.8 KB ( 227160 bytes )
File name: all.exe Strings
File type: Win32 EXE
Tags: peexe
Detection ratio: 31 / 48
Analysis date: 2013-10-02 VT

 

Información del archivo en ejecución

Al ejecutar el troyano se crea una instancia de los procesos cmd.exe y regsvr32.exe los cuales en conjunto tienen la finalidad de crear y descargar los diferentes archivos de configuración y librerías que serán inyectadas en los procesos pertenecientes a los diferentes navegadores web como Firefox, Chrome e Internet Explorer.

 

Dichos archivos son creados con nombres aleatorios y dependen directamente de la versión del sistema operativo en la que se ejecutó el troyano. Para el caso de Windows 7 la librería tiene el nombre de wsse.dll (93.0 KB), en Windows XP la librería se crea con el nombre de Imbd.dll (86.5 KB).

Las rutas por defecto para la creación de estos archivos son:

C:\ProgramData\nombre aleatorio
C:\Documents and Settings\All Users\Application Data\nombre aleatorio

 

SHA256: 459bb97cc34a3623ff6bd244779183d7be377ad2276b04d57ecc04f598b3539e
SHA1: 3d1bcfac9a3096a4d4fcfd87d8d83c84c2108e04
MD5: 4da58faf2b5e6c4e70f8a6d17d4a685a
File size: 93.0 KB ( 95232 bytes )
File name: wsse.dll Strings
File type: Win32 DLL
Tags: pedll
Detection ratio: 28 / 48
Analysis date: 2013-10-02 VT

SHA256: 0414d20d20e1bd7367161d90f803227711a04bb5cacfe2fd667b4ba6167a56d8
SHA1: 6fe1b54230e9141c30ce5f2158e3f5c8c915a45b
MD5: 001ba1467304ebb4374978fd939f073f
File size: 86.5 KB ( 88576 bytes )
File name: lmbd.dll
File type: Win32 DLL
Tags: pedll
Detection ratio: 3 / 48
Analysis date: 2013-09-18 VT


Así mismo se crean y modifican llaves en el registro de Windows con el fin de cambiar algunas opciones de configuración, monitorear todo el tráfico que viaja por la red y permitir el inicio de la librería en cada reinicio del equipo.

HKU\S-1-5-21-483117027-1912128701-2174859740-1000\Software\Classes\Directory\Shellex\CopyHookHandlers\oeoxjteoxjteoajtenq\: "{118BEDCA-A901-4203-B4F2-ADCB957D1883}"

HKU\S-1-5-21-483117027-1912128701-2174859740-1000_Classes\CLSID\{118BEDCA-A901-4203-B4F2-ADCB957D1883}\InprocServer32\: "C:\ProgramData\1363\wsse.dll"


Ver archivo completo

 

Se puede observar cómo se crean Hooks a los procesos Explorer.exe, firefox.exe, iexplore.exe y regsvr32.exe con el fin de que estos inicialicen la librería maliciosa y sea posible realizar la captura de datos.

 

Además de las funciones propias del API de Windows usadas por el troyano en las librerías: kernel32.dll, user32.dll y advapi32.dll

 

El troyano se descargó desde un servidor web ubicado en Turquía bajo el nombre all.exe

94.73.147.60 | AS34619 Cizgi Telekomunikasyon Hizmetleri Sanayi Ve Ticaret Limited Sirketi | Turkey |

Se comunica principalmente con 3 servidores enviando información cifrada de los diferentes procesos activos en el equipo, además de los datos de sesión capturados.

108.59.12.2 | AS30633 Leaseweb USA, Inc. | United States |
108.61.18.43 | AS20473 Choopa, LLC | United States |
31.184.241.43 | AS57954 FOP Budko Dmutro Pavlovuch | Russian Federation |

 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Sinowal Files

 

Mosh
@nyxbone

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos