Inicio

Dofoil

Diseccionando SmokeLoader (o Yulia y sus proposiciones indecentes)

A mediados de agosto empecé a recibir correos de Yulia. Se le veía ansiosa por que echara un vistazo a su sweet ass:
 

SmokeLoader spam
 
No estaba muy seguro, pero después de recibir algunos correos más (el último el 10 de septiembre) me animé a abrirlo. Fue entonces cuando me di cuenta de que no era más que el comienzo de una nueva campaña de distribución de SmokeLoader. Me llevé una gran decepción, así que decidí analizar los binarios por despecho :p

Éstas son algunas de las cabeceras y el contenido del cuerpo de uno de los mensajes:
 

Date:   Wed, 13 Aug 2014 12:55:56 -0400
From:   "Yulia" <negligentjsd185@dialectologic.in>
Subject: My new  photo

Hi it is Yulia fuck me ass at night. Look at my sweet ass on a photo I wait for you

 

No tengo intenciones de duplicar la información ya publicada sobre este loader, así que se puede consultar como referencia el post publicado en julio en StopMalvertising y el que escribió mi compañero Michael Sandee hace un par de años. Desde entonces, SmokeLoader, también conocido como Dofoil, ha modificado el cifrado que usa en las comunicaciones con el panel de control, ha añadido nuevos plugins, etc.

Enviado por jesparza el Sáb, 2014/10/11 - 20:01.
Distribuir contenido