Trojan Banker - Segue em anexo a 2 via do boleto, Dpto Juridico.

Iniciado por r32, 30 Septiembre 2014, 23:37 PM

0 Miembros y 1 Visitante están viendo este tema.

r32

Código fuente del mensaje recibido:

Source:
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGb27WyWDr7OJIxM0/W6OFf7u/luuGOYHbJldrqaw7hjArci/+7PnaiUt1GYT0o94FwoX2U9VuS+OZ/tzwamW3DXyb0HNhWfLe4=
Authentication-Results: hotmail.com; spf=fail (sender IP is 50.116.33.183; identity alignment result is fail and alignment mode is relaxed) smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=hotmail.com; x-hmca=none header.id=mixelyx@hotmail.com
X-SID-PRA: mixelyx@hotmail.com
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUADLyhfuKR0VAaHUpByYtQLqMSnQ5cvatKmlMNBa08gleb5J4UwfwM+ovq0PfAyv3mz88ptSD0ilrCaCqbPo0o3ZNeCNF7ifkeTaGhV0pjHHB9a/uoMOHlOZRQxSQN11TsGCL4xbkYs7HGuVKA4O9XNoGdRoUSK0o1ZJ3ttMjIvd
Received: from uol.com.br ([50.116.33.183]) by BAY004-MC2F29.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
        Tue, 23 Sep 2014 01:53:39 -0700
Received: by uol.com.br (Postfix, from userid 33)
       id 6A09161439; Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
To: xxxxx@hotmail.com
Subject: Segue em anexo a 2 via do boleto, Dpto Juridico.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Juridico <mixelyx@hotmail.com>
Message-Id: <20140923073335.6A09161439@uol.com.br>
Date: Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
Return-Path: www-data@uol.com.br
X-OriginalArrivalTime: 23 Sep 2014 08:53:39.0464 (UTC) FILETIME=[DE80F880:01CFD70B]

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
 <meta content="text/html; charset=ISO-8859-1"
http-equiv="content-type">
 <title></title>
</head>
<body>
<a href="hxtps://storage.googleapis.com/visualizaoronlines/documento.html"><img
style="border: 0px solid ; width: 971px; height: 648px;"
src="hxtp://gsete.com/osticket/js/emiss.png"
alt="Para ver o anexo clique aqui"></a>
<p><img src="hxtp://bit.ly/XZrR6u" width="1" height="1" /></p>
</body>
</html>


Aquí tenemos el archivo:

hxtps://storage.googleapis.com/visualizaoronlines/documento.html  >:D

VT: https://www.virustotal.com/es/url/b237e77608d997a5f4d036e39f87c473379436332ab8eeb7b74677e90b47a1fc/analysis/1412065188/ --> 0 / 59
AI: https://anubis.iseclab.org/?action=result&task_id=1aeb136b9180b69e47900b7de352b3a03



Aqui el análisis del archivo content.js:
VT: https://www.virustotal.com/es/file/94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b/analysis/1412057891/
SHA256: 94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b

Nombre: content.js
Detecciones: 2 / 55
Fecha de análisis: 2014-09-30 06:18:11 UTC ( hace 0 minutos )

instal.rdf:

File: install.rdf
MD5:  b39f4830a0e4e05367e585209fbcc71b
Size: 1080

Ascii Strings:
---------------------------------------------------------------------------
<?xml version="1.0" encoding="utf-8"?><!-- This Source Code Form is subject to the terms of the Mozilla Public
  - License, v. 2.0. If a copy of the MPL was not distributed with this
  - file, You can obtain one at http://mozilla.org/MPL/2.0/. --><RDF xmlns="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:em="http://www.mozilla.org/2004/em-rdf#">
 <Description about="urn:mozilla:install-manifest">
   <em:id>jid1-Sqj4NY0VG6TS9g@jetpack</em:id>
   <em:version>0.1</em:version>
   <em:type>2</em:type>
   <em:bootstrap>true</em:bootstrap>
   <em:unpack>false</em:unpack>
   <!-- Firefox -->
   <em:targetApplication>
     <Description>
       <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
       <em:minVersion>21.0</em:minVersion>
       <em:maxVersion>29.0a1</em:maxVersion>
     </Description>
   </em:targetApplication>
   <!-- Front End MetaData -->
   <em:name>Visualizador Documentos</em:name>
   <em:description>a basic add-on</em:description>
   <em:creator></em:creator>
   
   
   
 </Description>
</RDF>


Versiones afectadas para firefox:

Citar<em:minVersion>21.0</em:minVersion>
       <em:maxVersion>29.0a1</em:maxVersion>

harness-options.json:


hxtp://lucasdasilvaregere.biz/


view-source:http://lucasdasilvaregere.biz/:

<script src="//ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js" ></script>

 <link id="css-3373342544" class="www-core" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-core-webp-vflhcl-Ef.css" data-loaded="true">


     <link id="css-2187159078" class="www-player" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-player-webp-vfl3CEEFK.css" data-loaded="true">



Descarga del plugin para chrome y firefox (extraido del código fuente):

Firefox: hxtps://storage.googleapis.com/visualizaoronlines/VisualizadorDocumentos.xpi
Chrome: hxtps://chrome.google.com/webstore/detail/visualizador-online/ncmmgnoahjmpdboogfafhhaipgejaebl
Datos:
[Versión: 0.0.13
Última actualización: 22 de septiembre de 2014
Tamaño: 68.01KB
Idioma: português (Brasil)]



Upssss cuanta gente: Accesibilidad  [1.000 usuarios] "Good Botnet...."

Para abrir los archivos con extensión .xpi para Firefox pueden usar cualquier extractor, sea UniExtract, IZArc, winrar....



Otros datos:

http://whois.domaintools.com/lucasdasilvaregere.biz
[Proxied by AnonymousBitcoinDomains.com]

Información sobre los archivos con extensión .webp qie interpreta Chrome:

https://developers.google.com/speed/webp/
http://es.wikipedia.org/wiki/WebP
http://www.fileinfo.com/extension/webp

Quien quiera echarle un ojo lo he subido a dos servidores:

Descarga: http://www.mediafire.com/download/ua1tyyjby03y8h2/VisualizadorDocumentos.zip
               https://mega.co.nz/#!54ZhXRIT!zdvp1ssnsf-ad8QFAZCIHjc27H_F6X6grVlX0MXUgCo
Pass: infected

Contenido del archivo comprimido:



Espero no haber olvidado nada, cualquier cosa lo añado.

Saludos.