Trojan-Dropper.Win32.Clons / Spyrat / BackDoor.Cybergate

Trojan-Dropper.Win32.Clons / Spyrat / BackDoor.Cybergate (next genration de Bifrose).
Le malware permet de prendre contrôle de l’ordinateur, voler des données (dont les mots de passe) etc.

Il est assez répandu dans le monde des « Kevin » Hack, c’est à dire que plein de petits hackeurs peuvent faire leurs propres Trojan-Dropper.Win32.Clons / Spyrat / BackDoor.Cybergate via des outils.
Bien entendu, celui qui n’y connait pas grand chose (c’est à dire 99% de ce qui utilisent ce malware), verra son malware bien détecté au final  car incapable de le protéger :

File name: Quicken_Home__Business_2010.exe
Submission date: 2010-08-09 12:08:00 (UTC)
Current status: finished
Result: 36 /42 (85.7%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.09.00 2010.08.09 Dropper/Clons.1056768
AntiVir 8.2.4.34 2010.08.09 TR/Drop.Clons.hde.1
Antiy-AVL 2.0.3.7 2010.08.09 -
Authentium 5.2.0.5 2010.08.09 W32/TrojanX.EMTV
Avast 4.8.1351.0 2010.08.08 Win32:Banker-GSG
Avast5 5.0.332.0 2010.08.08 Win32:Banker-GSG
AVG 9.0.0.851 2010.08.08 Dropper.Generic2.WAL
BitDefender 7.2 2010.08.09 Trojan.Generic.4357516
CAT-QuickHeal 11.00 2010.08.09 TrojanDropper.Clons.hde
ClamAV 0.96.0.3-git 2010.08.09 -
Comodo 5692 2010.08.09 Heur.Suspicious
DrWeb 5.0.2.03300 2010.08.09 BackDoor.Cybergate.1
Emsisoft 5.0.0.36 2010.08.09 Trojan-Dropper.Win32.Clons!IK
eSafe 7.0.17.0 2010.08.08 -
eTrust-Vet 36.1.7773 2010.08.07 Win32/Tnega.SIX
F-Prot 4.6.1.107 2010.08.09 W32/TrojanX.EMTV
F-Secure 9.0.15370.0 2010.08.09 Trojan.Generic.4357516
Fortinet 4.1.143.0 2010.08.09 W32/Clons.HDE!tr
GData 21 2010.08.09 Trojan.Generic.4357516
Ikarus T3.1.1.84.0 2010.08.09 Trojan-Dropper.Win32.Clons
Jiangmin 13.0.900 2010.08.07 TrojanDropper.Clons.rh
Kaspersky 7.0.0.125 2010.08.09 Trojan-Dropper.Win32.Clons.hde
McAfee 5.400.0.1158 2010.08.09 BackDoor-ESO
McAfee-GW-Edition 2010.1 2010.08.09 BackDoor-ESO
Microsoft 1.6004 2010.08.09 Trojan:Win32/Malagent
NOD32 5351 2010.08.09 a variant of Win32/Injector.CDK
Norman 6.05.11 2010.08.08 -
nProtect 2010-08-09.02 2010.08.09 Trojan-Dropper/W32.Clons.1056768
Panda 10.0.2.7 2010.08.08 Trj/StartPage.DAW
PCTools 7.0.3.5 2010.08.09 Trojan.Gen
Prevx 3.0 2010.08.09 High Risk Cloaked Malware
Rising 22.60.00.04 2010.08.09 Trojan.Win32.Generic.5209E95A
Sophos 4.56.0 2010.08.09 Troj/Scoopy-Gen
Sunbelt 6704 2010.08.09 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.09 Trojan.Agent/Gen-Falint
Symantec 20101.1.1.7 2010.08.09 Trojan.Gen
TheHacker 6.5.2.1.339 2010.08.09 -
TrendMicro 9.120.0.1004 2010.08.09 TROJ_DROPPER.SMJ
TrendMicro-HouseCall 9.120.0.1004 2010.08.09 TROJ_DROPPER.SMJ
VBA32 3.12.12.8 2010.08.04 Trojan-Dropper.Win32.Clons.hde
ViRobot 2010.8.9.3978 2010.08.09 -
VirusBuster 5.0.27.0 2010.08.08 Trojan.DR.Clons.BUC
Additional informationShow all
MD5   : de13803c2c3a55082e35c96bd86abae4
SHA1  : 2a6f0ee5e51ad091b16cf1dfff7d1d63cba03ac4
SHA256: ee02ba48440bbb11c3c83c9d395941d7e91d60a7365baa8fcbf34486888d4b1c

La propagation reste essentiellement par des cracks sur des sites de fichiers ‘(rapidshare, MegaUpload etc).

Détection de Trojan-Dropper.Win32.Clons / Spyrat / BackDoor.Cybergate

La caractéristique principal est le chargement via la clef : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\

Process:
Path: C:\WINDOWS\explorer.exe
PID: 1428
Information: Explorateur Windows (Microsoft Corporation)
Registry Group: System
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{88YS6KA2-K274-5538-6L66-L3460T05T2T7}
Registry value: StubPath
New value:
Type: REG_EXPAND_SZ
Value: C:\WINDOWS\System32\\install\svchost.exe
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\System32\\install\svchost.exe Restart

Le malware se charge dans Explorer.exe (il est invisible dans le gestionnaire de tâches), de ce fait, les connexions établies, le seront par explorer.exe
Les connexions sont souvent vers des adresses type DynDns.
La seconde caractérique est la création des fichiers suivants :

  • %Temp%\UuU.uUu
  • %Temp%\XxX.xXx
  • %Temp%\XX–XX–XX.txt

qui sont détecté en Malware.Trace par Malwarebyte’s Anti-Malware

C:\Users\freud\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken.
C:\Users\freud\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken.

Suppression de Trojan-Dropper.Win32.Clons / Spyrat / BackDoor.Cybergate

Faites un scan ensuite avec Malwarebyte’s Anti-Malware – mettez bien à jour ce dernier avant de scanner.

ou :

  • Télécharger sur votre bureau Combofix de suBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exeTutorial Combofix
  • Redémarrez l’ordinateur en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier : Voir comment redémarrer en mode sans échec
  • Ouvrez la session infectée (qui doit aussi contenir Combofix sur votre bureau)
  • Lancez Combofix et suivez les instructions.
  • Au redémarrage Security Tool doit avoir été supprimé.