viernes, 11 de mayo de 2012

CHINA BOTNET: Jack Loader y Super Loader

At cybercrime scene there is a new class of botnets networks origin from China. This zombies networks is quite advanced and are spreading silently infecting thousands of computers, mainly from Asian users, collecting information from the infected users for long time until they are disabled.

The first of these botnets that was detected is known as JACK LOADER . Is called of this way because appears with this name at the login screen on the control panel. Malicious botnet infrastructure were hosted on the domain

The first signs of this botnet is back near the end of 2010.

About this time already had news of this threat in the security Web portal Threat Experts:

you can see the connection string of the Trojan with its control panel:


At that time the domain were located at IP IP belonging to the ISP Ninbo-LANZHONG-LTD of China

Once accessed at control panel that commands full botnet network most of zombie machines could be seen that the infected users were from Asian countries mostly.

Malware propagation started by visiting the infection vector :

hxxp :/ / 888/build.sub.php ---->

That redirected user navigation to the malicious Iframe:

iframe src = "hxxp :/ / 88 /" frameborder = "0" height = "600" width = "100%" scrolling = "auto"

From this Panel criminals could configure a battery of downloading malware on the infected machine according to the desired parameters:

Control Panel has other features of command & control over the victim's machine, such as capturing user's confidential data by using a control keylooger and Logs section (LOG VIEWER). It can also control and modify the DNS records on the infected computer to perform pharming attacks (DNS HIJACK)

Below is showed files structure of the Kit of the Control Panel of this Botnet JACK LOADER:

Subsequently, the botnet has been migrated to other sites hosted in China but keeping all the same structure of control and Infection:

Other address where it was hosted and actually inactive was:


The domain were hosted as IP belongs to same provider LANZHONG Ninbo-LTD of China

At present this threat is active again, appearing with a new name called SUPER LOADER as observed in the control panel access screen:

This new version is located in the domain hosted at IP belonging Xiangrong-Technological provider in China.

Trojan connection vector that communicates with botnet main server and receives orders is


Malicious Control Panel is reachable also at URL:

hXXp :/ / /

This new fraudulent server has control of all IP addresses that visits the Panel, blocking them if is detected anomalous activity.

You can get more information from the threat of page Threat experts:

still is possible to download the binaries that initiate infection from the actives address:





This all .Txt files are in reality malicious binaries that infect user's computer

martes, 8 de mayo de 2012

Botnet de origen Chino: Jack Loader y Super Loader

Esta apareciendo en la escena del ciber-crimen una nueva generación de botnets de origen Chino bastantes avanzados y que se están propagando de manera silenciosa infectando miles de ordenadores personales , principalmente de usuarios asiáticos , recopilando información de los usuarios infectados durante bastante tiempo hasta que son desactivados.

El primero de estos botnets que fue detectado recibe el nombre de JACK LOADER tal como mostraba su Panel de Control alojado en el dominio

Los primeros indicios de esta red zombi se remontan casi a finales de 2010.

Sobre estas fechas ya se tenía noticias de esta amenaza en el portal Threat Experts

Se observa la cadena de conexión del troyano con el panel de control:


En aquellas fechas el dominio estaba alojado en la IP perteneciente al proveedor NINBO-LANZHONG-LTD de China

Una vez que se accedía al panel de Control que contralaba toda la red de botnets o máquinas zombies se podía observar como la gran mayoría de usuarios infectados pertenecían a Paises del continente asiatico.

La infección se producía mediante el vector de descarga de Malware:

hXXp:// ---->

Que redirigía al usuario mediante el Iframe malicioso:

iframe src="hXXp://" frameborder="0" height="600" width="100%" scrolling="auto">

Desde el Panel de Control se podía configurar toda una batería de descarga de malware en la máquina infectada según los parámetros deseados:

El Panel de Control posee otras funcionalidades de control sobre la máquina de la victima, como la captura de los datos confidenciales del usuario mediante keylooger y controlarlos mediante un apartado de Logs (LOG VIEWER ) . También es capaz de controlar y modificar las tablas DNS del equipo infectado y realizar ataques por pharming (DNS HIJACK )

A continuación se muestra la estructura del Kit del Panel de Control del Botnet JACK LOADER:

Posteriormente la red de botnets se ha ido migrando a otras direcciones alojadas en China pero conservando la misma estructura de Infección:

Otra dirección ya inactiva donde estaba alojado fue:


El dominio estaba alojado en la IP perteneciente al mismo proveedor NINBO-LANZHONG-LTD de China

Actualmente la amaneza vuelve a estar activa , apareciendo con un nuevo nombre llamado SUPER LOADER tal como se observa en el panel de Control:

Esta nueva versión esta alojada en el dominio alojado en la IP perteneciente al proveedor xiangrong-technological de China.

La cadena de conexión del troyano con la que se comunica y recibe ordenes del Servidor principal es:


También se puede visitar el Panel de Control mediante la URL:


El servidor controla las direcciones IP desde las que se visita el Panel , bloqueandolas si detecta actividad anomala.

Se puede obtener más información de la amenaza de la pagina de Threat experts:

Todavía se pueden descargar los binarios que inician la infección desde las direcciones operativas:




Aunque aparezcan con la extensión .txt dichos ficheros son los binarios maliciosos que infectan el equipo del usuario