Supprimer Trojan.Cutwail / Trojan.Srizbi / Trojan.Kobcka / Trojan.Pandex

Trojan.Cutwail/ Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex est une famille de malwares utilisant les fonctionnalités de rootkit, le PC infecté devient un PC Zombi qui est en autre utilisé pour envoyer des mails de SPAM.

Vous trouverez une vidéo de CutWail en action depuis ce lien : http://forum.malekal.com/les-zombis-botnet-t1020.html#p153175

Détection Trojan.Cutwail / Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex

Il existe plusieurs variantes, voici la plus répandu.

Une DLL chargéé par winlogon.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
ou WinNT32.dll
ou WinNT64.dll
etc..

Le driver se trouve dans C:\WINDOWS\system32\Drivers\ avec une suite de lettre aléatoire et deux chiffres à la fin, exemple :
C:\WINDOWS\system32\Drivers\aiP42.sys
C:\WINDOWS\system32\Drivers\bjQ31.sys
C:\WINDOWS\system32\Drivers\emT42.sys
C:\WINDOWS\system32\Drivers\saH07.sys
C:\WINDOWS\System32\drivers\cjQ42.sys
C:\WINDOWS\System32\drivers\emT31.sys
C:\WINDOWS\System32\drivers\ucI64.sys
C:\WINDOWS\System32\drivers\weL42.sys
Le nom de fichier du driver peut souvent commencer par Win* exemple :
C:\WINDOWS\system32\drivers\Winfl06.sys

Trojan.Cutwail/Trojan.Srizbi est très souvent installé dans un pack, la présence d'autres familles de malwares sur le PC est donc envisageables.

Mi 2009 :

Quelques autres drivers CutWail :

• acpi32.sys
• securentm.sys
• atixxxxx.sys (voir http://forum.malekal.com/ati-dropper-t15994.html)

Les drivers sont détectés en Trojan.Cutwail/ Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex ou parfois par la détection générique Hacktool.Rootkit / ou par signature Rootkit.Win32.Agent.xxx dans le cas de Kaspersky etc (voir la page Index des menaces et programmes malveillants/Malwares pour mieux comprendre les détections).

Les droppers CutWail sont détectés en Trojan-Dropper.Kobcka ou Trojan.Rabbit (il existe plusieurs familles de Droppers).

Par exemple... Trojan.Rabbit créé un fichier dans le profil du user avec pour nom de fichier, le nom du user courant... %UserProfile%\%UserName%.exe et se charge avec une clef RUN :

# [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

* %UserName% = "%UserProfile%\%UserName%.exe /i"

se dernier télécharge ensuite CutWail avec des fichiers tmp. BNXX.tmp où X sont des chiffres.

Cette partie là est spécifique à tous les droppers :

Les urls de téléchargement sont de ce type là :

1244026427.895 3687 192.168.1.25 TCP_MISS/200 97897 GET http://69.64.67.194/40E8001430303030303030303030303030303030303031306C0000002B66000000007600000642EB0005308CB3C4D3 - DIRECT/69.64.67.194 application/octet-stream

1244026874.544 3185 192.168.1.25 TCP_MISS/200 97897 GET http://69.64.67.194/40E8001430303030303030303030303030303030303031306C0000002B66000000007600000642EB0005300ED7ECFC - DIRECT/69.64.67.194 application/octet-stream

1244027684.115 2576 192.168.1.25 TCP_MISS/200 97897 GET http://69.64.67.194/40E8001430303030303030303030303030303030303031306C0000002B66000000007600000642EB000530DE344657 - DIRECT/69.64.67.194 application/octet-stream

Concernant Trojan.Rabbit, Kaspersky a ajouté une détection sur le packer qui répond au nom de : Packed.Win32.Katusha.b

Le driver Cutwail est c:\windows\system32\drivers\AGP440.sys modifié - exemple : http://forum.malekal.com/restorer64-exe-backdoor-win32-harebot-t21539.html#p177661