10 ene 2013

Postales con regalo...

En uno de esos servicios que dicen, “Hola! alguien te ha enviado una postal” estuve mirando que era, así que le di al enlace de descargar la postal. Lo que, es raro porque a continuación se me descargó un fichero .exe. Que raro, pensé.

Analizé la muestra con peframe a ver que resultados me daba primero.

File Name:    Postalescompostaldeamistadrefverdate07112012.exeFile Size:    90112 byteCompile Time:    2012-08-28 04:06:34DLL:        FalseSections:    3MD5   hash:    df428e4631c8248ea1cfe880f3c31922SHA-1 hash:    88cc95b9df527dddf89eaa815fd05cfb43d7c4c6Packer:        Microsoft Visual Basic v5.0Anti Debug:    NoneAnti VM:    NoneFile and URL:FILE:        USER32.dllFILE:        MSVBVM60.DLLFILE:        VB6ES.DLLFILE:        VBA6.DLLFILE:        USER32.dllFILE:        USER32.dllFILE:        MSVBVM60.DLLURL:        NoneSuspicious API Functions:Suspicious API Anti-Debug:Suspicious Sections:Translation: 0x0c0a 0x04b0LegalCopyright: Electroel Electroel Electroel Electroel Electroel Electroel ElectroelInternalName: Electroel2FileVersion: 1.00CompanyName: ElectroelProductName: ElectroelCommentseElectroel Electroel Electroel Electroel Electroel Electroel Electroel Electroel Electroel: 4CompanyNameProductVersion: 1.00OriginalFilename: Electroel2.exe

Parece que la muestra la habían compilado hace poco y estaba programa con visual basic.

Si ejecutabas la muestra se conectaba a un HOST remoto.

Vaya, parece que la muestra se pensaba descargar otro binario, es decir actuaba como dropper. En este caso, no tuve suerte.Ni postales te pueden enviar ya…

2 comentarios:

  1. Je...Como no sea un virus de verdad...va a dejar algún rastro...No me fío mucho de lo que hacen 'ciertos' SPAMMER's a la hora de mandar mierda...Saludos...

    ResponderEliminar
  2. Hola Marc,Con qué programa has comprobado las conexiones?Un saludo

    ResponderEliminar