sábado, 24 de enero de 2009

KIT ROBOTS

Se trata de un Kit de Propagación de Malware que lleva existiendo desde fechas anteriores a 2008. Se caracteriza por que La infección se produce al redirigir al usuario hacia otra página externa que es donde se descarga el binario malicioso

El formato del vector de infección es el siguiente:

http://HOSTS/robo.php?r=4

El kit es bastante simple. Normalmente este kits es usado por otros binarios o droppers para descargar los archivos maliciosos. Por lo que no suele usar sofisticadas tecnicas de infección aprovechando las vulnerabilidades descubiertas , ni código ofuscado para ocultarse ante las plataformas antiviricas.

Esto ha hecho que este kit haya pasado desapercibido sin darsele mucha importancia , existiendo URL's maliciosas activas durante varios meses.

El panel de administración del kits ROBOTS muestra el siguiente aspecto:



Existe otra versión del panel diferente:





a diferencia de otros kits similares de preparación de Malware el panel de seguimiento estadístico de infecciones es bastante pobre , contabilizandose solo el numero de impactos.



Se observa como este Kit descarga los siguientes binarios maliciosos:


hXXp://abrakadasbra.cn/robo/f/q1.exe
hXXp://abrakadasbra.cn/robo/f/q2.exe
hXXp://abrakadasbra.cn/robo/f/q3.exe
hXXp://abrakadasbra.cn/robo/f/q4.exe
hXXp://abrakadasbra.cn/robo/f/q5.exe
hXXp://abrakadasbra.cn/robo/f/q6.exe
hXXp://abrakadasbra.cn/robo/f/q7.exe
hXXp://abrakadasbra.cn/robo/f/q8.exe
hXXp://abrakadasbra.cn/robo/f/q9.exe
hXXp://abrakadasbra.cn/robo/f/avto.exe
hXXp://abrakadasbra.cn/robo/f/avto1.exe
hXXp://abrakadasbra.cn/robo/f/avto2.exe
hXXp://abrakadasbra.cn/robo/f/avto3.exe
hXXp://abrakadasbra.cn/robo/f/avto4.exe
hXXp://abrakadasbra.cn/robo/f/teste1_p.exe
hXXp://abrakadasbra.cn/robo/f/teste2_p.exe
hXXp://abrakadasbra.cn/robo/f/teste3_p.exe
hXXp://abrakadasbra.cn/robo/f/teste4_p.exe
hXXp://abrakadasbra.cn/robo/f/pinnew.exe

Menu de configuración de la descarga de archivos:





Existen actualmente bastantes direcciones maliciosas que contienen el kit ROBOTS y que están activas. A continuación mostramos algunas de ellas:

Dirección: hXXp://thetrypto.cn/robo/robo.php?r=4

descarga el binario:

hXXp://thetrypto.cn/robo/f/123.exe


Dirección: hXXp://bestlocatehomes.com/robo/robo.php?r=4

descarga los binarios:

hXXp://bestlocatehomes.com/robo/f/q1.exe
hXXp://bestlocatehomes.com/robo/f/q2.exe
hXXp://bestlocatehomes.com/robo/f/q3.exe
hXXp://bestlocatehomes.com/robo/f/q4.exe
hXXp://bestlocatehomes.com/robo/f/q5.exe
hXXp://bestlocatehomes.com/robo/f/q6.exe
hXXp://bestlocatehomes.com/robo/f/q7.exe
hXXp://bestlocatehomes.com/robo/f/q8.exe
hXXp://bestlocatehomes.com/robo/f/q9.exe
hXXp://bestlocatehomes.com/robo/f/avto.exe
hXXp://bestlocatehomes.com/robo/f/avto1.exe
hXXp://bestlocatehomes.com/robo/f/avto2.exe
hXXp://bestlocatehomes.com/robo/f/avto3.exe
hXXp://bestlocatehomes.com/robo/f/avto4.exe
hXXp://bestlocatehomes.com/robo/f/teste1_p.exe
hXXp://bestlocatehomes.com/robo/f/teste2_p.exe
hXXp://bestlocatehomes.com/robo/f/teste3_p.exe
hXXp://bestlocatehomes.com/robo/f/teste4_p.exe
hXXp://bestlocatehomes.com/robo/f/pinnew.exe
hXXp://bestlocatehomes.com/robo/f/baracudanew.exe
hXXp://bestlocatehomes.com/robo/f/ldr.exe
hXXp://bestlocatehomes.com/robo/f/odb.exe


Vector de Infección: hXXp://rusarticles.org/icoo/robo.php

Vector de Infección: hXXp://195.242.161.100/l/robo.php?r=4

Descarga los binarios:

hXXp://195.242.161.100/gc.exe
hXXp://195.242.161.100/ic.exe
hXXp://195.242.161.100/pr.exe
Publicado por en No hay comentarios:
Etiquetas:

domingo, 18 de enero de 2009

INFECTA PACK


Ha aparecido un nuevo kit de propagación de Malware llamado " Le Infecta " basado en una actualización del kit Fiesta. Como se puede observar en la imagen la pantalla de seguimiento estadistico de infecciones es practicamente identico , solo diferenciandose por el nombre.

Esta muestra se ha localizado en la dirección maliciosa:

hXXp://obfuscated.spb.ru/index.php

Que descarga el binario :

hXXp://obfuscated.spb.ru/load.exe

Este kit se caracteriza por emplear las ultimas vulnerabilidades descubiertas en la aplicacion PDF Reader para descargar en las máquinas de los usuarios los binarios maliciosos.

Se han localizado varias direccionas fraudulentas que emplean el nuevo kit:

hXXp://theoschepens.nl/phpmycounter/themes/5/cgi-bin/index.php

Descarga varios binarios:

hXXp://theoschepens.nl/phpmycounter/themes/5/cgi-bin/load.exe
hXXp://theoschepens.nl/phpmycounter/themes/5/cgi-bin/update.exe
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)