Windows 7 SP1 32 bits - Master File Table

z211 · Marzo 11, 2018, 05:20:19 PM

Hola,

Tengo un fichero Win7SP132bits.dd se corresponde al Master File Table, este ha sido infectado por un malware y necesito saber qué URL fue utilizada para descarga el malware...

He probado Hybrid Analysis, me reporta esta información pero no lo entiendo muy bien:

Detected known bank URL artifact
details
"GET /d/msdownload/update/others/2017/11/25791985_01922f044237dbf51a0b58c5bbd5b37ecd472bdc.cab HTTP/1.1Connection: Keep-AliveAccept: */*User-Agen%WINDIR%\Update-AgentHost: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login<" (Source: network.pcap, Indicator: "bdc.ca")
source
String
relevance
10/10

Gracias.

Rad1us · Marzo 12, 2018, 05:18:53 AM

Por lo que parece el host es: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El dominio no pertenece a microsoft o eso creo xD, usa ese nombre para engañar, aunque parece ser que si pones la direccion te redirige a la pagina oficial de microsoft, en cambio si quitas el subdominio y pones solo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no se puede mostrar.

la url seria esta:

Código: text

download.windowsupdate.com/d/msdownload/update/others/2017/11/25791985_01922f044237dbf51a0b58c5bbd5b37ecd472bdc.cab

Windows 7 SP1 32 bits - Master File Table

z211

Marzo 11, 2018, 05:20:19 PM Ultima modificación: Marzo 12, 2018, 02:36:24 AM por Gabriela

Rad1us

Marzo 12, 2018, 05:18:53 AM #1